DE102020110034A1 - Monitoring system with multi-level inquiry verification - Google Patents
Monitoring system with multi-level inquiry verification Download PDFInfo
- Publication number
- DE102020110034A1 DE102020110034A1 DE102020110034.5A DE102020110034A DE102020110034A1 DE 102020110034 A1 DE102020110034 A1 DE 102020110034A1 DE 102020110034 A DE102020110034 A DE 102020110034A DE 102020110034 A1 DE102020110034 A1 DE 102020110034A1
- Authority
- DE
- Germany
- Prior art keywords
- user
- access
- data
- certificate
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 525
- 238000012795 verification Methods 0.000 title claims description 15
- 230000004044 response Effects 0.000 claims abstract description 25
- 238000013475 authorization Methods 0.000 claims description 162
- 230000006870 function Effects 0.000 claims description 47
- 238000000034 method Methods 0.000 claims description 44
- 238000012360 testing method Methods 0.000 claims description 41
- 238000010801 machine learning Methods 0.000 claims description 30
- 230000008859 change Effects 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 18
- 238000003860 storage Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 12
- 230000008878 coupling Effects 0.000 claims description 11
- 238000010168 coupling process Methods 0.000 claims description 11
- 238000005859 coupling reaction Methods 0.000 claims description 11
- 238000005259 measurement Methods 0.000 claims description 10
- 241000196324 Embryophyta Species 0.000 claims description 8
- 230000004913 activation Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 238000009434 installation Methods 0.000 claims description 5
- 230000002950 deficient Effects 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 claims description 3
- 230000001133 acceleration Effects 0.000 claims description 2
- 230000009849 deactivation Effects 0.000 claims description 2
- 230000005611 electricity Effects 0.000 claims description 2
- 238000005265 energy consumption Methods 0.000 claims description 2
- JEIPFZHSYJVQDO-UHFFFAOYSA-N iron(III) oxide Inorganic materials O=[Fe]O[Fe]=O JEIPFZHSYJVQDO-UHFFFAOYSA-N 0.000 claims description 2
- 230000003287 optical effect Effects 0.000 claims description 2
- 230000001360 synchronised effect Effects 0.000 claims description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 claims 1
- 206010000210 abortion Diseases 0.000 claims 1
- 238000010248 power generation Methods 0.000 claims 1
- 238000007726 management method Methods 0.000 description 49
- 238000012549 training Methods 0.000 description 29
- 230000008569 process Effects 0.000 description 21
- 230000008901 benefit Effects 0.000 description 19
- 238000012546 transfer Methods 0.000 description 12
- 230000015654 memory Effects 0.000 description 11
- 239000008186 active pharmaceutical agent Substances 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 230000008520 organization Effects 0.000 description 9
- 230000002093 peripheral effect Effects 0.000 description 8
- 230000004224 protection Effects 0.000 description 7
- 239000000463 material Substances 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 239000000498 cooling water Substances 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000001629 suppression Effects 0.000 description 3
- 238000005406 washing Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000000446 fuel Substances 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000013179 statistical model Methods 0.000 description 2
- 241000218691 Cupressaceae Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 239000002253 acid Substances 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 239000003637 basic solution Substances 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000002153 concerted effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009979 protective mechanism Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010972 statistical evaluation Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/38—Services specially adapted for particular environments, situations or purposes for collecting sensor information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/18—Network protocols supporting networked applications, e.g. including control of end-device applications over a network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Die Erfindung betrifft ein Überwachungssystem, das operativ an ein Überwachungsobjekt (334, 920, 922, 924) koppelbar ist, wobei das Überwachungssystem einen Prozessor (304, 904.1, 904.2, 904.3), eine Netzwerkschnittstelle (308) und zumindest einen Sensor (331, 916) und/oder eine Steuereinheit (333, 344, 432) umfasst. Das Überwachungssystem ist ausgebildet zum:• Empfang (804) einer Anfrage (322) einer Anfrageeinheit (328);• Durchführen einer ersten Prüfung (806) der Anfrage;• Falls die erste Prüfung ergibt, dass die Anfrage nicht vertrauenswürdig ist, Abbruch (808) der ersten Prüfung, ohne eine Antwort irgendeiner Form an die Anfrageeinheit zurückzugeben;• andernfalls Durchführen (810) einer weiteren Prüfung der Anfrage;• nur falls die weitere Prüfung der Anfrage ergibt, dass die Anfrageeinheit hinreichend berechtigt ist, Ermöglichung der Übertragung von Zustandsdaten des Überwachungsobjekts, die von dem Sensor erfasst wurden, an die Anfrageeinheit und/oder Ändern des Zustands des Überwachungsobjekts mittels der Steuerungseinheit gemäß der Anfrage.The invention relates to a monitoring system that can be operatively coupled to a monitoring object (334, 920, 922, 924), the monitoring system having a processor (304, 904.1, 904.2, 904.3), a network interface (308) and at least one sensor (331, 916) and / or a control unit (333, 344, 432). The monitoring system is designed to: • receive (804) a request (322) from a request unit (328); • carry out a first check (806) of the request; • if the first check shows that the request is not trustworthy, abort (808 ) the first check without returning a response of any form to the request unit; • otherwise carrying out (810) a further check of the request; Monitoring object detected by the sensor to the request unit and / or changing the state of the monitoring object by means of the control unit in accordance with the request.
Description
Technisches GebietTechnical area
Die vorliegenden Darstellungen betreffen mikrocontrollerbasierte und mikroprozessorbasierte Überwachungssysteme und insbesondere die Zugriffskontrolle auf deren Funktionalität durch externe Systeme.The present representations relate to microcontroller-based and microprocessor-based monitoring systems and in particular the access control to their functionality by external systems.
Stand der TechnikState of the art
Mikrocontrollerbasierte und mikroprozessorbasierte Systeme werden bereits heute vielfach zur Überwachung verschiedenster technischer Objekte („Überwachungsobjekte) verwendet.Microcontroller-based and microprocessor-based systems are already widely used today to monitor a wide variety of technical objects ("monitoring objects").
Bekannte Beispiele hierfür sind Waschmaschinen, Staubsauger sowie diverse andere Haus- und Gartengeräte. Auch viele Komponenten von Fahrzeugen haben eine eigene Steuerung, um halbautonom reagieren zu können, z.B. das ABS und ESP System. Das ABS System verhindert das Blockieren der Räder auf der Basis eines als gefährlich erachteten Abfallens der Drehzahl eines Rades, die z.B. dadurch verursacht werden kann, dass ein Rad auf einem Untergrund mit einem niedrigeren Haftreibungskoeffizienten steht. Das ESP System verhindert ein nicht erwünschtes Drehen des Fahrzeugs auf der Basis diverser Sensoren, z.B. eines Lenkwinkelsensors. Manche ESP Überwachungssysteme vergleichen eine aktuelle Winkelgeschwindigkeit um die Hochachse des Fahrzeugs mit einer maximalen SOLL Winkelgeschwindigkeit. Zwar ist die Rechenkapazität von mikrocontrollerbasierten und mikroprozessorbasierten Systemen oftmals recht gering, dies ist jedoch in der Regel unproblematisch, da die gesamte Chiparchitektur samt der ggf. darauf befindlichen Peripheriefunktionalitäten stark aufeinander abgestimmt sind und der Mikrocontroller bzw. der Mikroprozessor oft nur einige wenige oder nur eine einzige Funktion ausführen muss, auf deren Ausführung dieser oftmals optimiert ist.Well-known examples of this are washing machines, vacuum cleaners and various other household and garden tools. Many vehicle components also have their own controls in order to be able to react semi-autonomously, e.g. the ABS and ESP system. The ABS system prevents the wheels from locking on the basis of a drop in the speed of a wheel that is considered dangerous, which can, for example, be caused by the fact that a wheel is on a surface with a lower coefficient of static friction. The ESP system prevents undesired turning of the vehicle on the basis of various sensors, e.g. a steering angle sensor. Some ESP monitoring systems compare a current angular speed around the vertical axis of the vehicle with a maximum TARGET angular speed. Although the computing capacity of microcontroller-based and microprocessor-based systems is often quite low, this is usually not a problem, since the entire chip architecture, including the peripheral functionalities that may be on it, are closely coordinated and the microcontroller or microprocessor often only a few or only one has to perform the only function that it is often optimized to perform.
In all den vorgenannten Systemen besteht keine Gefahr eines Angriffs über das Internet, denn die besagten Systeme verfügen nicht über eine entsprechende Netzwerkschnittstelle.In all of the above-mentioned systems there is no risk of an attack via the Internet, because the said systems do not have a corresponding network interface.
Mit dem Aufkommen des autonomen oder teilautonomen Fahrens, von Smart-Home Anwendungen und diversen Applikationen und Systemen des „Internets der Dinge“ (Internet of Things, loT) hat sich die Situation jedoch geändert. Viele Systeme zur Überwachung anderer Objekte erfordern zwingend eine Vernetzung mit der Cloud oder mit anderen IoT-Endknoten über das Internet, um ihre Funktion korrekt durchführen zu können. Damit werden diese Systeme jedoch vulnerabel für entsprechende Angriffe über das Netzwerk.However, with the advent of autonomous or semi-autonomous driving, smart home applications and various applications and systems of the “Internet of Things” (loT), the situation has changed. Many systems for monitoring other objects absolutely require networking with the cloud or with other IoT end nodes via the Internet in order to be able to perform their function correctly. However, this makes these systems vulnerable to attacks via the network.
Eine bestimmte Form des Angriffs, der Denial of Service (DoS; engl. für „Verweigerung des Dienstes“) Angriff, hat sich dabei als besonders problematisch erwiesen. Unter einem DoS Angriff wird ein Angriff auf eine Recheneinheit mittels einer großen Menge an Anfragen innerhalb eines kurzen Zeitfensters verstanden, welcher die Nichtverfügbarkeit der Recheneinheit aufgrund Überlastung des Datennetzes bzw. der CPUs der Recheneinheit zum Ziel hat. Im Fall einer durch eine Vielzahl von gezielten Anfragen verursachten, mutwilligen Blockade eines Systems spricht man von einer Denial-of-Service Attacke und, wenn die Anfragen von einer großen Zahl an Rechnern aus durchgeführt werden, von einer Distributed-Denial-of-Service Attacke (DDoS-Attacke, deutsch wörtlich verteilte-Verweigerung-des-Dienstes-Angriff). Da beim DDoS-Angriff die Anfragen von einer Vielzahl von Quellen ausgehen, ist es nicht möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.A particular form of attack, the Denial of Service (DoS) attack, has proven to be particularly problematic. A DoS attack is understood to mean an attack on a processing unit by means of a large number of requests within a short time window, the aim of which is the unavailability of the processing unit due to overloading of the data network or the CPUs of the processing unit. In the case of a willful blockade of a system caused by a large number of targeted requests, one speaks of a denial-of-service attack and, if the requests are carried out from a large number of computers, of a distributed denial-of-service attack (DDoS attack, German literally distributed denial of service attack). Since the requests for a DDoS attack come from a large number of sources, it is not possible to block the attacker without completely cutting off communication with the network.
DoS Angriffe sind technisch vergleichsweise simpel, da sie nicht das Eindringen in das IoT-Gerät zum Ziel hat, sondern dessen Lahmlegung. Ein Schutz vor derartigen Angriffen ist für internetfähige IoT-Geräte aber auch besonders schwierig, da ein Trennen der Netzwerkverbindung oftmals einem funktionalen Ausfall des IoT-Endknotens gleichkommt. Zudem sind IoT-Endknoten aufgrund ihrer geringen Rechenkapazität im Hinblick auf DoS-Angriffe besonders vulnerabel.DoS attacks are technically relatively simple, as their aim is not to penetrate the IoT device, but to paralyze it. Protection against such attacks is also particularly difficult for Internet-enabled IoT devices, since disconnecting the network connection often amounts to a functional failure of the IoT end node. In addition, due to their low computing capacity, IoT end nodes are particularly vulnerable to DoS attacks.
Zwar sind im Kontext von Standard-Desktop Computern und Server-Computern verschiedene Technologien bekannt, um diese Systeme vor unberechtigtem Zugriff Dritter über das Internet zu schützen. Hierzu gehören z.B. Firewalls, Virenscanner, komplexe kryptographische Authentifizierungsverfahren und andere. Allerdings sind diese Technologien im Kontext von IoT Endknoten und bauähnlicher Systeme in der Regel nicht anwendbar, da die Rechenleistung von mikrocontrollerbasierten und mikroprozessorbasierten Systemen für diese Schutzmechanismen zu schwach ist.In the context of standard desktop computers and server computers, various technologies are known to protect these systems from unauthorized access by third parties via the Internet. These include e.g. firewalls, virus scanners, complex cryptographic authentication procedures and others. However, these technologies are generally not applicable in the context of IoT end nodes and similar systems, as the computing power of microcontroller-based and microprocessor-based systems is too weak for these protective mechanisms.
Außerdem sind IoT Endknoten in der Regel batteriebetrieben, sodass konventionelle, rechenintensive Sicherungsverfahren zu einer schnellen Entladung der Batterie führen würden.In addition, IoT end nodes are usually battery-operated, so that conventional, computationally intensive backup procedures would lead to the battery being discharged quickly.
Technisches Problem und grundlegende LösungenTechnical problem and basic solutions
Vor diesem Hintergrund besteht ein Bedarf an verbesserten mikrocontrollerbasierten und/oder mikroprozessorbasierten Systemen und Verfahren zur Überwachung physischer Objekte insofern, dass die vorangehend erwähnten Nachteile damit zumindest teilweise vermeidbar sind.Against this background, there is a need for improved microcontroller-based and / or microprocessor-based systems and methods for monitoring physical objects to the extent that the disadvantages mentioned above can thus be at least partially avoided.
Der Erfindung liegt demgegenüber die Aufgabe zugrunde, ein verbessertes Überwachungssystem für physische Objekte zu schaffen, sowie ein entsprechendes Überwachungsverfahren.In contrast, the invention is based on the object of creating an improved monitoring system for physical objects, as well as a corresponding monitoring method.
Die der Erfindung zugrundeliegenden Aufgaben werden jeweils mit den Merkmalen der unabhängigen Patentansprüche gelöst. Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen angegeben. Die im Folgenden aufgeführten Ausführungsformen sind frei miteinander kombinierbar, sofern sie sich nicht gegenseitig ausschließen.The objects on which the invention is based are each achieved with the features of the independent patent claims. Embodiments of the invention are given in the dependent claims. The embodiments listed below can be freely combined with one another, provided they are not mutually exclusive.
In einem Aspekt betrifft die Erfindung ein Überwachungssystem. Das Überwachungssystem ist als ein mikrocontroller-basiertes oder mikroprozessor-basiertes Datenverarbeitungssystem ausgebildet, welches operativ an ein Überwachungsobjekt koppelbar ist. Das Überwachungssystem umfasst:
- - zumindest einen Prozessor;
- - eine Netzwerkschnittstelle;
- - zumindest einen Sensor, der dazu ausgebildet ist, einen aktuellen Zustand des Überwachungsobjektes zu erfassen; und/oder eine Steuereinheit, die dazu ausgebildet ist, den Zustand des Überwachungsobjektes zu verändern.
- - at least one processor;
- - a network interface;
- - At least one sensor which is designed to detect a current state of the monitored object; and / or a control unit which is designed to change the state of the monitored object.
Das Überwachungssystem ist ausgebildet zum:
- - Empfang einer Anfrage über die Netzwerkschnittstelle von einer Anfrageeinheit;
- - Durchführen einer ersten Prüfung der Anfrage durch den Prozessor;
- - Falls die erste Prüfung ergibt, dass die Anfrage nicht vertrauenswürdig ist, Abbruch der ersten Prüfung, ohne eine Antwort irgendeiner Form an die Anfrageeinheit zurückzugeben;
- - nur falls die erste Prüfung ergibt, dass die Anfrageeinheit vertrauenswürdig ist, Durchführen einer weiteren Prüfung der Anfrage durch den Prozessor;
- - nur falls die weitere Prüfung der Anfrage ergibt, dass die Anfrageeinheit hinreichend berechtigt ist, Ermöglichung der Übertragung von Zustandsdaten des Überwachungsobjekts, die von dem zumindest einen Sensor erfasst wurden, an die Anfrageeinheit und/oder Ändern des Zustands des Überwachungsobjekts mittels der Steuerungseinheit gemäß der Anfrage.
- - Receipt of a request via the network interface from a request unit;
- - Carrying out a first check of the request by the processor;
- If the first test shows that the request is not trustworthy, the first test is aborted without returning a response of any form to the request unit;
- - only if the first check shows that the query unit is trustworthy, carrying out a further check of the query by the processor;
- - only if the further examination of the request shows that the request unit is sufficiently authorized, enabling the transmission of status data of the monitoring object, which were recorded by the at least one sensor, to the request unit and / or changing the status of the monitoring object by means of the control unit according to the Inquiry.
Ausführungsformen der Erfindung können den Vorteil aufweisen, dass die Durchführung einer mehrstufigen Prüfung der Anfrage das Überwachungssystem erheblich entlasten kann. Die Gesamtheit an im jeweiligen Anwendungskontext durchzuführenden Prüfungen einschließlich der weiteren Prüfung wird nur dann durchgeführt, wenn schon eine erste „Vorprüfung“ der Anfrage positiv ausgefallen ist, wenn also die Anfrage zumindest einen ggf. schnell prüfbaren Beleg bzw. ein Indiz ihrer Vertrauenswürdigkeit enthielt. Auch ein leistungsschwacher Mikroprozessor kann hierdurch in die Lage versetzt werden, komplexe Prüfalgorithmen durchzuführen, ohne dass dieser Prozessor hierdurch vulnerabel für DoS Angriffe wird, denn ein DoS Angriff würde bereits beim ersten Prüfschritt scheitern, die weiteren und ggf. rechenaufwändigen Prüfschritte würden gar nicht mehr durchgeführt.Embodiments of the invention can have the advantage that carrying out a multi-stage check of the request can relieve the monitoring system considerably. The entirety of the checks to be carried out in the respective application context, including the further check, is only carried out if a first “preliminary check” of the request was positive, i.e. if the request contained at least one quickly verifiable document or an indication of its trustworthiness. Even a poorly performing microprocessor can be enabled to carry out complex test algorithms without this processor becoming vulnerable to DoS attacks, because a DoS attack would already fail in the first test step and the further and possibly computationally expensive test steps would no longer be carried out at all .
Ausführungsformen der Erfindung können zudem den Vorteil aufweisen, dass das Überwachungssystem dann, wenn die erste Prüfung negativ ausfällt, keine Antwort zurückgibt, noch nicht einmal eine Fehlermeldung. Dadurch kann verhindert werden, dass ein potentieller Angreifer anhand der Fehlermeldung Rückschlüsse auf das Prüfsystem bzw. das von diesem verwendete Anfrageprüfungs- und Authentifizierungsverfahren machen kann. Durch eine Antwort würde in Angreifer zumindest erfahren, dass unter der vom Angreifer benutzten Adresse auch tatsächlich ein Überwachungssystem erreichbar ist. Dadurch, dass das Überwachungssystem keinerlei Antwort zurückgibt, wird der Angreifer darüber im Unklaren gelassen, ob sein Angriff überhaupt ein real existierendes Überwachungssystem getroffen hat. Dies kann für Ausführungsformen der Erfindung die Sicherheit erhöhen, denn dem Angreifer wird die Motivation und die Möglichkeit genommen, sich näher mit einer Antwort des Überwachungssystems auseinanderzusetzen und den nächsten Angriff entsprechend anzupassen.Embodiments of the invention can also have the advantage that if the first test is negative, the monitoring system does not return a response, not even an error message. This can prevent a potential attacker from being able to draw conclusions about the test system or the query test and authentication method used by it based on the error message. A response would at least tell the attacker that a monitoring system can actually be reached at the address used by the attacker. Because the surveillance system does not return any response, the attacker is left in the dark as to whether his attack actually hit an existing surveillance system. This can increase the security for embodiments of the invention, because the attacker is deprived of the motivation and the possibility to deal more closely with a response from the monitoring system and to adapt the next attack accordingly.
Nach Ausführungsformen der Erfindung trennt das Überwachungssystem die Netzwerkverbindung zu der Anfrageeinheit falls die erste Prüfung ergibt, dass die Anfrage dass die Anfrage nicht vertrauenswürdig ist. Die Netzwerkverbindung zwischen dem Überwachungssystem und der Anfrageeinheit kann z.B. auf einer höheren Ebene des OSI-Modells bestehen, insbesondere der Applikationsebene.According to embodiments of the invention, the monitoring system disconnects the network connection to the query unit if the first check shows that the query that the query is not trustworthy. The network connection between the monitoring system and the query unit can exist, for example, at a higher level of the OSI model, in particular the application level.
Ausführungsformen können den Vorteil haben, dass die Verbindungstrennung sicher stellt, dass zumindest zunächst von der Anfrageeinheit keine weiteren Anfragen mehr gesendet werden können, die ggf. Schadcode enthalten könnten. Erst muss wieder eine Netzwerkverbindung, z.B. eine SSH-Verbindung oder eine Verbindung gemäß eines anderen Datenaustauschprotokolls re-etabliert werden. Beispielsweise kann das Überwachungssystem aber so konfiguriert sein, dass es einen erneuten Aufbau einer Datenübertragungsverbindung zu der gleichen Anfrageeinheit nur nach einem zeitlichen Mindestabstand zu der letzten gescheiterten (als nicht vertrauenswürdig erachteten) Anfrage, z.B. von 5 Minuten oder einer Stunde, erlaubt. Somit können Ausführungsformen der Erfindung sicherstellen, dass der Prozessor des Überwachungssystems nicht durch wiederholtes Schließen und Neuaufbau einer Datenaustauschverbindung zu der Anfrageeinheit blockiert wird.Embodiments can have the advantage that the disconnection ensures that, at least initially, no further inquiries can be sent by the inquiry unit which could possibly contain malicious code. First a network connection, for example an SSH connection or a connection according to another data exchange protocol, has to be re-established. For example, the monitoring system can be configured in such a way that it allows a data transmission connection to be re-established to the same request unit only after a minimum time interval to the last failed (considered untrustworthy) request, e.g. 5 minutes or an hour. Thus can Embodiments of the invention ensure that the processor of the monitoring system is not blocked by repeated closing and re-establishment of a data exchange connection to the query unit.
Beispielsweise kann das Überwachungssystem über eine Netzwerkverbindung mit anderen Überwachungssystemen und/oder der Anfrageeinheit verbunden sein. Die Netzwerkverbindung kann z.B. als eine Funkverbindung ausgebildet sein. Zusätzlich oder alternativ dazu kann die Netzwerkverbindung auch über z.B. Bluetooth Low Energy (BLE) und WiFi aufgebaut werden.For example, the monitoring system can be connected to other monitoring systems and / or the query unit via a network connection. The network connection can be designed as a radio connection, for example. Additionally or alternatively, the network connection can also be established via e.g. Bluetooth Low Energy (BLE) and WiFi.
Nach Ausführungsformen ist die weitere Prüfung rechnerisch aufwändiger als die weitere Prüfung.According to embodiments, the further test is computationally more complex than the further test.
Gemäß einer Ausführungsform besteht die erste Prüfung aus einer oder mehreren arithmetischen Operationen auf numerischen Datenwerten. Insbesondere kann die erste Prüfung aus einer Prüfung bestehen, ob die Anfrage einen Berechtigungsnachweis in Form eines numerischen Datenwerts beinhaltet, der identisch ist zu einem in einem nicht-flüchtigen Speichermedium der Überwachungseinheit gespeicherten Referenzberechtigungsnachweises ist.According to one embodiment, the first test consists of one or more arithmetic operations on numeric data values. In particular, the first check can consist of a check as to whether the request contains a credential in the form of a numerical data value that is identical to a reference credential stored in a non-volatile storage medium of the monitoring unit.
Gemäß einer Ausführungsform gilt die Anfrage und/oder die Anfrageeinheit als nicht vertrauenswürdig, wenn im Zuge der ersten Prüfung erkannt wird, dass die Anfrage den numerischen Berechtigungsnachweis nicht enthält.According to one embodiment, the request and / or the request unit is not considered to be trustworthy if it is recognized in the course of the first check that the request does not contain the numerical authorization.
Ausführungsformen der Erfindung können den Vorteil haben, dass die erste Prüfung auf eine sehr ressourcenschonende Weise durchgeführt werden kann. Bei dem Referenzberechtigungsnachweis handelt es sich um einen numerischen Wert. Eine Prüfung auf Identität zweier Werte kann von Prozessoren und insb. auch Mikroprozessoren auf höchst effiziente, ressourcenschonende Weise durchgeführt werden. Somit kann das Überwachungssystem durch einen Vergleich eines mit der Anfrage erhaltenen Wertes mit einigen im Überwachungssystem hinterlegten Referenzberechtigungsnachweisen bereits Angreifer und eine Vielzahl sonstiger unberechtigter Systeme erkennen, denn diesen ist der Referenzberechtigungsnachweis nicht bekannt. Auch ein leistungsschwacher Mikroprozessor kann mehrere dieser Zahlenwertvergleiche in kurzer Zeit durchführen.Embodiments of the invention can have the advantage that the first test can be carried out in a very resource-saving manner. The reference credential is a numeric value. A check for the identity of two values can be carried out by processors and especially microprocessors in a highly efficient, resource-saving manner. Thus, by comparing a value received with the request with some reference credentials stored in the monitoring system, the monitoring system can already identify attackers and a large number of other unauthorized systems, because the reference credentials are not known to them. Even a poorly performing microprocessor can carry out several of these numerical value comparisons in a short time.
Zusätzlich oder alternativ dazu umfasst die weitere Prüfung eine Zertifikatskettenprüfung. Die Zertifikatskettenprüfung beinhaltet eine Prüfung, ob ein die Anfrageeinheit repräsentierendes Nutzer-Zertifikat über eine Kette weiterer Nutzer-Zertifikate ableitbar ist von einem als vertrauenswürdig geltenden Root-Nutzer-Zertifikat.Additionally or alternatively, the further test includes a certificate chain test. The certificate chain check includes a check as to whether a user certificate representing the query unit can be derived from a root user certificate that is considered to be trustworthy via a chain of further user certificates.
Ausführungsformen der Erfindung können den Vorteil haben, dass die Zertifikatskettenprüfung zuverlässig die Identität oder eine Eigenschaft, z.B. ein Recht, eines bestimmten Nutzers bzw. eines als Nutzer repräsentierten Überwachungssystem belegen kann. Beispielsweise kann das Root-Zertifikat von einer offiziellen Zertifizierungsstelle stammen, sodass mittels der Zertifikatskettenprüfung geprüft werden kann, ob die Identität oder die Eigenschaft sich direkt oder indirekt von diesem als vertrauenswürdig erachteten Root-Zertifikat ableitet. Zwar ist die Durchführung einer Zertifikatskettenprüfung oftmals rechenaufwändig, da diese jedoch erst innerhalb der weiteren Prüfung durchgeführt wird, ist die Wahrscheinlichkeit sehr hoch, dass die Anfrage nicht von einem Angreifer kommt, sondern von einem Computer oder anderen Überwachungssystem, das die erforderlichen Rechte besitzt, wobei dies letztlich erst durch die weitere Prüfung entschieden wird.Embodiments of the invention can have the advantage that the certificate chain check can reliably prove the identity or a property, e.g. a right, of a specific user or of a monitoring system represented as a user. For example, the root certificate can come from an official certification authority, so that the certificate chain check can be used to check whether the identity or the property is derived directly or indirectly from this root certificate, which is considered to be trustworthy. Carrying out a certificate chain check is often computationally expensive, but since this is only carried out during the further check, the probability is very high that the request does not come from an attacker, but from a computer or other monitoring system that has the necessary rights, whereby this is ultimately only decided by the further examination.
Ausführungsformen können den Vorteil haben, dass die weitere Prüfung nur dann durchgeführt wird, wenn die erste Prüfung ergab, dass der Berechtigungsnachweis der Anzeige dem Überwachungssystem bekannt ist und in Form eines identischen Referenzberechtigungsnachweis im Überwachungssystem gespeichert ist. Dies schont die Rechenkapazität des Überwachungssystems. Während die erste Prüfung nur einen oder mehrere Vergleiche numerischer Werte auf Identität beinhaltete, kann die nachfolgende Prüfung durchaus komplexer und damit vergleichsweise rechenintensiv sein. Da die weitere Prüfung aber nur durchgeführt wird, wenn die erste Prüfung bereits positiv verlief, fällt dieser Aufwand nur für Anfragen von Anfrageeinheiten an, die mit einiger Wahrscheinlichkeit auch hinreichend berechtigt sind, die gewünschte Funktion durch das Überwachungssystem ausführen zu lassen. Somit kann ein guter Kompromiss zwischen dem Wunsch nach geringer Rechenlast einerseits und dem Wunsch zur Durchführung komplexer und entsprechend sicherer Authentifizierungsverfahren.Embodiments can have the advantage that the further check is only carried out if the first check revealed that the authorization verification of the display is known to the monitoring system and is stored in the monitoring system in the form of an identical reference authorization verification. This saves the computing capacity of the monitoring system. While the first check only included one or more comparisons of numerical values for identity, the subsequent check can be more complex and therefore comparatively computationally intensive. However, since the further check is only carried out if the first check was already positive, this effort is only incurred for inquiries from query units that are with some probability also sufficiently authorized to have the desired function carried out by the monitoring system. Thus, a good compromise can be found between the desire for a low computing load on the one hand and the desire to carry out complex and correspondingly secure authentication processes.
Gemäß Ausführungsformen der Erfindung ist das Überwachungsobjekt ausgewählt ist aus einer Gruppe umfassend:
- - Ein Infrastrukturobjekt, insbesondere ein Infrastruktur-Gebäude (z.B. ein Krankenhaus, ein städtisches oder kommunales Gebäude, ein Bibliotheksgebäude), eine Energieerzeugungsanlage, ein Elektrizitätswerk, eine Anlage eines Wasserwerks, ein Kraftwerk;
- - eine militärische Anlage;
- - eine industrielle Anlage zur Produktion von Gütern;
- - eine Vorrichtung, z.B. eine Tür oder ein Tor,
- - eine Maschine, z. B. ein Gerät der Medizintechnik, ein Haushaltsgerät wie z.B. eine Waschmaschine, ein Fernsehgerät, einen Router, ein Mobiltelefon oder allgemein ein Gerät der Unterhaltungselektronik;
- - ein Fahrzeug;
- - ein Flugzeug;
- - eine Komponente der vorgenannten Objekte;
- - eine Kombination aus zwei oder mehr der vorgenannten Objekte.
- - An infrastructure object, in particular an infrastructure building (for example a hospital, a city or municipal building, a library building), an energy generation plant, an electricity plant, a water plant plant, a power plant;
- - a military installation;
- - an industrial plant for the production of goods;
- - a device, e.g. a door or a gate,
- - a machine, e.g. B. a device of medical technology, a household device such as a washing machine, a television set, a router, a mobile phone or a general consumer electronics device;
- - a vehicle;
- - an airplane;
- - a component of the aforementioned objects;
- - a combination of two or more of the aforementioned objects.
Gemäß Ausführungsformen der Erfindung sind die von dem zumindest einen Sensor erfassten Zustandsdaten des Überwachungsobjekts ausgewählt aus einer Gruppe umfassend:
- - Leistungsparameter des Überwachungsobjekts, insbesondere Drehzahl, Energieverbrauch, Wirkungsgrad, Beschleunigung, Größenveränderung, Temperatur, Menge der verbrauchten Verbrauchsmittel, Menge der erzeugten oder bereitgestellten Güter, zurückgelegte Strecke, Temperatur;
- - Verschleißparameter, die einen Verschleiß des Überwachungsobjekts oder seiner Komponenten anzeigen, insbesondere Schwingungsmessdaten, optische oder leitfähigkeitsbasierte Rostindikatoren, Menge der verarbeiteten oder bereitgestellten Güter, akkumulierte Betriebsdauer, zurückgelegte Strecke;
- - Zustandsindikatoren, die einen aktuellen Zustand des Überwachungsobjekts angeben, insbesondere „inaktiv“, „bereit“, „aktiv“, „defekt“, „Grad der Aktivität in %“;
- - eine Kombination aus zwei oder mehr der vorgenannten Zustandsparameter.
- - Performance parameters of the monitored object, in particular speed, energy consumption, efficiency, acceleration, change in size, temperature, amount of consumables used, amount of goods produced or provided, distance covered, temperature;
- Wear parameters that indicate wear of the monitored object or its components, in particular vibration measurement data, optical or conductivity-based rust indicators, quantity of goods processed or provided, accumulated operating time, distance covered;
- - Status indicators which indicate a current status of the monitored object, in particular “inactive”, “ready”, “active”, “defective”, “degree of activity in%”;
- - a combination of two or more of the aforementioned state parameters.
Gemäß Ausführungsformen der Erfindung ist die von der Steuereinheit bewirkte Zustandsänderung des Überwachungsobjekts ausgewählt ist aus einer Gruppe umfassend.
- - eine Aktivierung des Überwachungsobjekts;
- - eine Deaktivierung des Überwachungsobjekts;
- - eine Erhöhung der Leistung des Überwachungsobjekts;
- - eine Reduzierung der Leistung des Überwachungsobjekts.
- - an activation of the monitoring object;
- - a deactivation of the surveillance object;
- - an increase in the performance of the monitored object;
- - a reduction in the performance of the monitored object.
Nach Ausführungsformen der Erfindung handelt es sich bei dem Überwachungssystem um ein eingebettetes System.According to embodiments of the invention, the monitoring system is an embedded system.
Ein eingebettetes System (auch englisch embedded system) ist ein elektronischer Computer, der in einen technischen Kontext eingebunden (eingebettet) ist, wobei der Computer entweder Überwachungs-, Steuerungs- oder Regelfunktionen bezüglich des Überwachungsobjekts übernimmt und/oder für eine Form der Daten- bzw. Signalverarbeitung von sensierten Statusdaten des Überwachungsobjekts zuständig ist. Bei dieser Daten- bzw. Signalverarbeitung kann es sich z.B. um das Ver- bzw. Entschlüsseln, Codieren bzw. Decodieren oder Filtern von Daten, insbesondere Messdaten, handeln.An embedded system (also English embedded system) is an electronic computer that is integrated (embedded) in a technical context, wherein the computer either takes over monitoring, control or regulation functions with regard to the monitoring object and / or for a form of data or Signal processing of sensed status data of the monitored object is responsible. This data or signal processing can be, for example, the encryption or decryption, coding or decoding or filtering of data, in particular measurement data.
Oft werden eingebettete Systeme speziell an eine Aufgabe angepasst. Aus Kostengründen wird eine optimierte, gemischte Hardware-Software-Implementierung gewählt. Dabei vereinigt eine solche Konstruktion die große Flexibilität von Software mit der Leistungsfähigkeit der Hardware. Die Software dient dabei sowohl zur Steuerung des Systems selbst als auch zur Interaktion des Systems mit der Außenwelt über definierte Schnittstellen oder Protokolle (z. B. LIN-Bus, CAN-Bus, ZigBee für drahtlose Kommunikation oder IP über Ethernet).Embedded systems are often specially adapted to a task. For reasons of cost, an optimized, mixed hardware-software implementation is chosen. Such a construction combines the great flexibility of software with the performance of the hardware. The software is used to control the system itself and to interact with the outside world via defined interfaces or protocols (e.g. LIN bus, CAN bus, ZigBee for wireless communication or IP over Ethernet).
Nach Ausführungsformen ist eine Vielzahl von ansonsten autonomen Überwachungssystemen miteinander funktional vernetzt um ein komplexes Gesamtsystem bereitzustellen (so z.B. im Fahrzeug oder Flugzeug und bei loT Anwendungen).According to embodiments, a large number of otherwise autonomous monitoring systems are functionally networked with one another in order to provide a complex overall system (e.g. in vehicles or aircraft and in loT applications).
Nach Ausführungsformen umfasst das Überwachungssystem ferner eine software- oder hardwarebasierte Funktionalität.According to embodiments, the monitoring system further comprises a software or hardware-based functionality.
Eine softwarebasierte Funktionalität kann z.B. in von dem Prozessor ausführbaren Instruktionen („Software“) implementiert sein.A software-based functionality can be implemented, for example, in instructions ("software") that can be executed by the processor.
Die Funktionalität kann zur Überwachung des Überwachungsobjekts dienen und z.B. eine Steuerung des Sensors zum Sensieren und/oder Speichern der sensierten Zustandsdaten beinhalten. Zusätzlich oder alternativ dazu kann die Funktionalität eine Kontrolle der Steuereinheit beinhalten, wobei die Kontrolle beinhaltet, die Steuereinheit dazu zu veranlassen, einen Steuerbefehl zu erzeugen und an das Überwachungsobjekt zu senden, wobei der Steuerbefehl zu einer Zustandsänderung des Überwachungsobjekts führt. Beispielsweise kann das Überwachungsobjekt eine Turbine oder ein Motor sein und die Funktionalität kann in einer Kontrolleinheit bestehen, die einen Steuerbefehl an das Überwachungsobjekt sendet um z.B. dessen Drehzahl zu erhöhen oder zu reduzieren.The functionality can be used to monitor the monitored object and include, for example, a control of the sensor for sensing and / or storing the sensed status data. Additionally or alternatively, the functionality can include a control of the control unit, the control including causing the control unit to generate a control command and to send it to the monitoring object, the control command leading to a change in the state of the monitoring object. For example, the monitored object can be a turbine or a motor and the functionality can consist of a control unit that sends a control command to the monitored object, e.g. to increase or reduce its speed.
Das Überwachungssystem ist dazu konfiguriert, nur dann, falls die erste und die weitere Prüfung positiv verläuft, also z.B. zum Ergebnis haben dass die Anfrage und der Anfrageeinheit vertrauenswürdig sind, die Funktionalität auszuführen. Vorzugsweise werden bei der Ausführung Angaben innerhalb der Anfrage berücksichtigt. Beispielsweise kann die Anfrage beinhalten, die Umdrehungszahl einer Turbinen auf einen bestimmten absoluten Wert oder um einen bestimmten Wert relativ zur aktuellen Umdrehungszahl zu erhöhen. Die Ausführung der Funktionalität würde dann beinhalten, die Steuereinheit zu veranlassen, einen Kontrollbefehl zu erzeugen, der die Reduzierung der Umdrehungszahl um den besagten Wert spezifiziert, und den Kontrollbefehl an die Turbine (Überwachungsobjekt) zu senden. Der Kontrollbefehl bewirkt, dass die Turbine ihre Umdrehungszahl entsprechend verringert.The monitoring system is configured to carry out the functionality only if the first and further tests are positive, that is to say, for example, have the result that the request and the request unit are trustworthy. When executing, information is preferably given within the request is taken into account. For example, the request can include increasing the number of revolutions of a turbine to a certain absolute value or by a certain value relative to the current number of revolutions. The execution of the functionality would then include causing the control unit to generate a control command which specifies the reduction in the number of revolutions by the said value and to send the control command to the turbine (monitoring object). The control command causes the turbine to reduce its number of revolutions accordingly.
Gemäß einem anderen Beispiel kann die softwarebasierte Funktionalität beinhalten, dass die Anfrageeinheit Daten von dem Überwachungssystem empfängt, z.B. Sensordaten, die ein oder mehrere Sensoren des Überwachungssystems erfasst und lokal gespeichert haben.According to another example, the software-based functionality can include that the query unit receives data from the monitoring system, e.g. sensor data that one or more sensors of the monitoring system have detected and stored locally.
Gemäß einem anderen Beispiel kann die softwarebasierte Funktionalität beinhalten, dass die Anfrageeinheit ein trainiertes ML-Modell, das auf lokal erfassten Daten des Überwachungssystems trainiert wurde, oder eine Vorhersage, die eine Vorhersagesoftware des Überwachungssystems berechnet hat, empfängt oder aktiv auslesen darf.According to another example, the software-based functionality can include that the query unit receives or is allowed to actively read out a trained ML model that has been trained on locally recorded data of the monitoring system, or a prediction that has been calculated by a prediction software of the monitoring system.
Gemäß einem weiteren Beispiel beinhaltet die softwarebasierte Funktionalität das Speichern von Daten in einem lokalen Datenspeicher des Überwachungssystems. Bei den zu speichernden Daten kann es sich z.B. um Messdaten handeln, die der zumindest eine Sensor des Überwachungssystems bezüglich des Status des Überwachungsobjekts über einen gewissen Zeitraum hin erfasst hat. Alternativ dazu kann es sich bei den zu speichernden Daten um Daten handeln, die in der Anfrage enthalten sind. Beispielsweise kann es sich bei den in der Anfrage enthaltenen Daten um ein trainiertes ML-Modell eines anderen Überwachungssystems oder der Anfrageeinheit handeln, wobei die Anfrage z.B. der Synchronisation mehrerer ML-Modelle zwischen den Überwachungssystemen und/oder der Anfrageeinheit dient.According to a further example, the software-based functionality includes the storage of data in a local data memory of the monitoring system. The data to be stored can be, for example, measurement data that the at least one sensor of the monitoring system has recorded with regard to the status of the monitored object over a certain period of time. Alternatively, the data to be stored can be data that is contained in the request. For example, the data contained in the query can be a trained ML model of another monitoring system or the query unit, the query serving, for example, to synchronize several ML models between the monitoring systems and / or the query unit.
Eine hardwarebasierte Funktionalität kann z.B. ein Schalter sein, der manuell und/oder auf Veranlassung des Überwachungssystems betätigt wird und dessen Betätigung die Erfassung von Sensordaten durch den zumindest einen Sensor des Überwachungssystems initialisiert. Zusätzlich oder alternativ dazu kann die Betätigung dieses Schalters vermittelt über die Steuereinheit eine Zustandsänderung eines größeren mechanisch beweglichen Bauteil des Überwachungsobjekts bewirken, z.B. das Öffnen eines Tores, das Schließen einer Schließanlage, etc.A hardware-based functionality can be, for example, a switch that is actuated manually and / or at the instigation of the monitoring system and the actuation of which initializes the acquisition of sensor data by the at least one sensor of the monitoring system. Additionally or alternatively, actuation of this switch can cause a change in the state of a larger mechanically movable component of the monitored object via the control unit, e.g. opening a gate, closing a locking system, etc.
Gemäß Ausführungsformen der Erfindung ist das Überwachungssystem dazu konfiguriert, Ergebnisses der Ausführung der Funktionalität an die Anfrageeinheit zurückzugeben.According to embodiments of the invention, the monitoring system is configured to return results of the execution of the functionality to the query unit.
Beispielsweise können von einem Sensor des Überwachungssystems erfasste Messwerte, von einer Software des Überwachungssystems berechnete Vorhersagen, Ergebnisse eines Kontrollbefehls zum Öffnen oder Schließen von Türen oder Toren an die Anfrageeinheit zurückgegeben werden.For example, measured values recorded by a sensor of the monitoring system, predictions calculated by software of the monitoring system, results of a control command for opening or closing doors or gates can be returned to the query unit.
Nach Ausführungsformen beinhaltet das Speichermedium des Überwachungssystems eine Nutzdaten-Datenbank. Die Nutzdaten-Datenbank beinhaltet mehrere Datensätze. In manchen Ausführungsformen kann das Speichermedium auch mehrere derartiger Nutzdaten-Datenbanken beinhalten. Zumindest einer der Datensätze beinhaltet Zustandsdaten des Überwachungsobjekts, die von dem zumindest einen Sensor erfasst wurden. Zusätzlich oder alternativ dazu beinhaltet zumindest einer der Datensätze Konfigurationsdaten, die von der Steuereinheit bei der Änderung des Zustands des Überwachungsobjekts gelesen und bei der Zustandsänderung berücksichtigt werden. Beispielsweise kann das Überwachungsobjekt eine Tür beinhalten und die Anfrage beinhalten, diese Tür zu öffnen. In den Konfigurationsdaten kann ein Default-Wert gespeichert sein, der angibt, wie weit, also bis zu welche Öffnungswinkel, die Tür geöffnet werden soll, sofern in der Anfrage kein anderer Wert spezifiziert ist oder der in der Anfrage spezifizierte Wert außerhalb eines in den Konfigurationsdaten hinterlegten zulässigen Wertebereichs liegt.According to embodiments, the storage medium of the monitoring system contains a user data database. The user data database contains several data records. In some embodiments, the storage medium can also contain a plurality of such user data databases. At least one of the data sets contains status data of the monitored object that was recorded by the at least one sensor. Additionally or alternatively, at least one of the data records contains configuration data that are read by the control unit when the state of the monitoring object changes and are taken into account when the state changes. For example, the monitored object can contain a door and contain the request to open this door. A default value can be stored in the configuration data, which indicates how far, i.e. up to which opening angle, the door is to be opened, provided no other value is specified in the request or the value specified in the request is outside of one in the configuration data stored permissible value range.
Das Speichermedium des Überwachungssystems umfasst ferner gemäß Ausführungsformen eine ID-Datenbank. In der ID-Datenbank sind eine Vielzahl von Nutzer-Zertifikaten und eine Vielzahl von Zugriffs-Zertifikaten gespeichert.According to embodiments, the storage medium of the monitoring system further comprises an ID database. A large number of user certificates and a large number of access certificates are stored in the ID database.
Ein Nutzer-Zertifikat ist ein einem Nutzer eindeutig zugewiesener Datenwert. Beispielsweise kann es sich bei dem Nutzer-Zertifikat um eine Zahl oder vorzugsweise um ein von einer Zertifizierungsstelle ausgestelltes Zertifikat handeln, z.B. um ein X.509 Zertifikat. Ein Nutzer kann eine natürliche Person, aber auch ein Überwachungssystem oder eine Anfrageeinheit repräsentieren.A user certificate is a data value that is uniquely assigned to a user. For example, the user certificate can be a number or preferably a certificate issued by a certification authority, e.g. an X.509 certificate. A user can represent a natural person, but also a monitoring system or a query unit.
Ein Zugriffs-Zertifikat ist ein numerischer Datenwert, der einem Nutzer durch Zuweisung dieses Zugriffs-Zertifikat an dessen Nutzer-Zertifikat in der ID-Datenbank eine bestimmte Art des Datensatzzugriffs auf Datensätze der Nutzdaten-Datenbank gewährt.An access certificate is a numerical data value which, by assigning this access certificate to the user certificate in the ID database, grants a user a certain type of data record access to data records in the user data database.
Ausführungsformen können vorteilhaft sein, das die Trennung von Nutzdaten und Nutzer-Zertifikaten sowie assoziierten Zugriffsrechten ein sehr komplexes, flexibles und feingranulares Zugriffsrechtemanagement ermöglichen kann.Embodiments can be advantageous because the separation of user data and user certificates as well as associated access rights is a very important factor can enable complex, flexible and fine-grained access rights management.
Beispielsweise können eine bestimmten Nutzer bzw. dessen Nutzer-Zertifikat in der ID-Datenbank drei unterschiedliche Zugriffs-Zertifikate in Form von drei unterschiedlichen numerischen Werten zugewiesen sein. Das erste Zugriffszertifikat berechtigt zum Lesen auf Datensätze, die von diesem Nutzer erstellt wurden. Das zweite Zugriffszertifikat berechtigt zum Schreiben bzw. Modifizieren des von diesem Nutzer erstellten Datensatzes. Und das dritte Zugriffszertifikat erlaubt es, auf einen Index zuzugreifen, der Feldwerte dieses Datensatzes enthält.For example, a specific user or his user certificate in the ID database can be assigned three different access certificates in the form of three different numerical values. The first access certificate authorizes reading of data records created by this user. The second access certificate authorizes the user to write or modify the data record created by this user. And the third access certificate allows access to an index that contains the field values of this data record.
Die weitere Prüfung umfasst gemäß Ausführungsformen eine Prüfung, ob die Anfrage ein Nutzer-Zertifikat enthält, dem in der ID-Datenbank eines der Zugriffs-Zertifikate zugeordnet ist, welches die Anfrageeinheit zum Empfang der Zustandsdaten und/oder zur Veranlassung einer Zustandsänderung des Überwachungsobjekts berechtigt. Das Überwachungssystem ist dazu konfiguriert, die Ermöglichung der Übertragung der Zustandsdaten und/oder das Ändern des Zustands des Überwachungsobjekts nur dann zu veranlassen, wenn die Anfrage ein solches Nutzer-Zertifikat enthält.According to embodiments, the further check comprises a check as to whether the request contains a user certificate to which one of the access certificates is assigned in the ID database, which authorizes the request unit to receive the status data and / or to initiate a change in the status of the monitoring object. The monitoring system is configured to enable the transmission of the status data and / or the changing of the status of the monitoring object only if the request contains such a user certificate.
Beispielsweise kann dieses Nutzer-Zertifikat ein Nutzer-Zertifikat sein, welches die Anfrageeinheit zur Veranlassung der Ausführung der oben beschriebenen Hardware- oder Software-Funktionalität berechtigt. Das Überwachungssystem ist dazu konfiguriert, die Ausführung dieser Funktionalität nur dann zu veranlassen, wenn die Anfrage ein solches Nutzer-Zertifikat enthält.For example, this user certificate can be a user certificate which authorizes the query unit to initiate the execution of the hardware or software functionality described above. The monitoring system is configured to only initiate the execution of this functionality if the request contains such a user certificate.
Ausführungsformen können vorteilhaft sein, da die Verwendung verschiedener Zugriffs-Zertifikate für unterschiedliche Zugriffsformen ein höchst feingranulares Zugriffsmanagement ermöglichen kann. Beispielsweise kann das Überwachungssystem drei unterschiedliche Typen von Zugriffsrechten unterscheiden, die jeweils als einzigartiger numerischer Wert ausgebildet sein kann. Die Art des Zugriffs der durch das entsprechende Zugriffszertifikat gewährt wird kann z.B. durch die Speicherposition bzw. das Feld dieses Zugriffs-Zertifikats in der ID-Datenbank und/oder in Metadaten der Zugriffs-Zertifikate und/oder durch numerische Prefixes oder Suffixes spezifiziert sein.Embodiments can be advantageous since the use of different access certificates for different forms of access can enable extremely fine-grained access management. For example, the monitoring system can differentiate between three different types of access rights, each of which can be designed as a unique numerical value. The type of access granted by the corresponding access certificate can be specified e.g. by the storage position or the field of this access certificate in the ID database and / or in metadata of the access certificates and / or by numerical prefixes or suffixes.
Nach Ausführungsformen ist jeder der Referenzberechtigungsnachweise eines der Zugriffs-Zertifikate der ID-Datenbank.According to embodiments, each of the reference credentials is one of the access certificates of the ID database.
Gemäß Ausführungsformen beinhaltet das Speichermedium einen oder mehrere Referenzberechtigungsnachweise. Das Überwachungssystem ist dazu konfiguriert, die Referenzberechtigungsnachweise mit der Anfrage abzugleichen, wobei jeder der Referenzberechtigungsnachweise eines der Zugriffs-Zertifikate der ID-Datenbank ist, wobei die Zugriffszertifikate jeweils numerische Datenwerte sind.According to embodiments, the storage medium contains one or more reference credentials. The monitoring system is configured to match the reference credentials with the request, each of the reference credentials being one of the access certificates of the ID database, the access certificates each being numerical data values.
Beispielsweise können sämtliche Zugriffs-Zertifikate als rein numerische Werte ausgebildet sein. Jedem Nutzer können dabei so viele überwachungssystemweiteinmalige numerische Werte als Zugriffszertifikate zugewiesen sein wie es Zugriffsarten gibt, die individuell erlaubt oder verhindert werden sollen. Die Verwendung numerischer Werte hat den Vorteil, dass eine Prüfung, ob ein Zugriffsrecht vorliegt, sehr schnell und unter geringem rechnerischen Aufwand durch Vergleich zweiter Zahlen durchgeführt werden kann.For example, all access certificates can be designed as purely numerical values. Each user can be assigned as many unique numerical values as access certificates throughout the monitoring system as there are types of access that are individually allowed or prevented. The use of numerical values has the advantage that a check as to whether an access right exists can be carried out very quickly and with little computational effort by comparing two numbers.
Nach Ausführungsformen ist das Zugriffs-Zertifikat ausgewählt aus einer Gruppe umfassend:
- - ein Lesezugriffs-Zertifikat, welches einem Nutzer einen lesenden Zugriff auf den zumindest einen Datensatz ermöglicht;
- - ein Schreibzugriffs-Zertifikat, welches einem Nutzer einen modifizierenden Zugriff auf den zumindest einen Datensatzes ermöglicht; der Schreibzugriff kann z.B. das Löschen (DELETE) oder Ändern (UPDATE) eines Datensatzes beinhalten;
- - ein Indexzugriffs-Zertifikat, welches einem Nutzer Kenntnis der Existenz des zumindest einen Datensatzes in der Nutzdaten-Datenbank und einen lesenden Zugriff auf Metadaten des zumindest einen Datensatzes ermöglicht.
- - A read access certificate, which enables a user read access to the at least one data record;
- - A write access certificate, which allows a user a modifying access to the at least one data record; the write access can include, for example, the deletion (DELETE) or modification (UPDATE) of a data record;
- an index access certificate which enables a user to know the existence of the at least one data record in the user data database and read access to metadata of the at least one data record.
Beispielsweise ermöglicht ein Indexzugriffs-Zertifikat es einem Nutzer oder einem anfragenden System, eine statistische Auswertung mehrerer Datensätze zu erhalten, etwa bezüglich der Frage, auf wie viele Datensätze einer Nutzdaten-Datenbank ein bestimmter Nutzer Lesezugriff oder Schreibzugriff besitzt oder wie viele Datensätze in dem Nutzdatenfeld die Wörter „Kalibrierungsfehler“ beinhalten.For example, an index access certificate enables a user or a requesting system to receive a statistical evaluation of several data records, for example with regard to the question of how many data records in a user data database a particular user has read or write access to or how many data records in the user data field Contain the words "calibration error".
Unter einem „Nutzer“ kann hier eine Person aber auch ein weiteres Überwachungssystem und/oder die Anfrageeinheit bezeichnet sein, da ein solches Überwachungssystem als ein „virtueller Nutzer“ angesehen werden kann.A “user” here can also refer to a person, however, a further monitoring system and / or the query unit, since such a monitoring system can be viewed as a “virtual user”.
Die Verwendung mehrerer unterschiedlicher Typen von Zugriffs-Zertifikaten für unterschiedliche Zugriffsarten und die individuelle Zuweisung dieser Zertifikatstypen an einzelne Nutzer um diesen den Zugriff auf die von einem Nutzer erstellte Daten zu ermöglichen, kann vorteilhaft sein, da dadurch eine besonders feingranulare Kontrolle des Zugriffs auf die Daten ermöglicht wird.The use of several different types of access certificates for different types of access and the individual assignment of these certificate types to individual users in order to enable them to access the data created by a user can be advantageous, as this enables particularly fine-grained control of access to the data is made possible.
Nach Ausführungsformen beinhaltet die Anfrage ein Nutzer-Zertifikat, hier als Anfragenutzer-Zertifikat bezeichnet. Die Datensätze der Nutzdatenbank beinhalten jeweils das Zugriffs-Zertifikat desjenigen Nutzers, welcher den Datensatz erstellt hat, als Bestandteil des Datensatzes in einem eigenen Feld des Datensatzes.According to embodiments, the request contains a user certificate, referred to here as a request user certificate. The data records of the user database each contain the access certificate of the user who created the data record as part of the data record in a separate field of the data record.
Vorzugsweise handelt es sich bei den in den entsprechenden Feldern des Datensatz gespeicherten Zugriffs-Zertifikaten um reine Zahlenwerte, nicht um komplexe x509 Zertifikate. Metadaten bezüglich der Gültigkeit und andere Aspekte können getrennt von dem eigentlichen Zugriffs-Zertifikat in der ID-Datenbank gespeichert sein. Vorzugsweise enthält jeder von einem bestimmten Nutzer in einer Nutzdaten-Datenbank erstellte Datensatz in seinen entsprechenden Feldern sämtliche Zugriffs-Zertifikate des diesen Datensatz erstellenden Nutzers. Wird beispielsweise ein Datensatz DS von Nutzer (z.B. Nutzer, lokaler Prozess oder externes Überwachungssystem) „U1“ erstellt und der Nutzer-U1 hat gemäß dem Inhalt der ID-Datenbank genau 3 Typen von Zertifikaten (ein Lesezugriffs-Zertifikat „U1.Z-Zert[R]“, ein Schreibzugriffs-Zertifikat „U1.Z-Zert[W]“ und ein Indexzugriffs-Zertifikat „U1.Z-Zert[S]“), so werden Kopien genau dieser 3 Zugriffs-Zertifikate im Zuge der Speicherung des Datensatzes DS aus der ID-Datenbank erstellt und die in die entsprechenden Felder des Datensatzes DS gespeichert. Wenn nun der Nutzer-U1 einem anderen Nutzer U2 Leserechte bezüglich des Datensatzes DS einräumt, bedeutet das, dass in der ID-Datenbank eine Zuordnung dieses Lesezugriffs-Zertifikat „U1.Z-Zert[R]“ des Nutzers U1 und des Nutzer-Zertifikats des Nutzers U2 gespeichert wird. Falls der Nutzer (z.B. Nutzer, lokaler Prozess oder externes Überwachungssystem) „U2“ nun zu einem späteren Zeitpunkt auf den Datensatz DS zugreifen will, sendet die Nutzdaten-Datenbank, die den Datensatz DS beinhaltet, in Antwort auf die Zugriffsanfrage des Nutzers U2 automatisch eine Berechtigungsanfrage an die ID-Datenbank zusammen mit den in dem Datensatz DS gespeicherten Zugriffsrechten des Erstellers U1. Die ID-Datenbank prüft daraufhin, ob ein dem Nutzer U2 zugeordnetes Nutzer-Zertifikat in der ID-Datenbank mit ein oder mehreren der in dem Datensatz DS gespeicherten Zugriffsrechte des Erstellers U1 verknüpft gespeichert ist. Nur falls dies der Fall ist, darf er auf den Datensatz zugreifen.The access certificates stored in the corresponding fields of the data record are preferably pure numerical values, not complex x509 certificates. Metadata relating to the validity and other aspects can be stored separately from the actual access certificate in the ID database. Each data record created by a specific user in a user data database preferably contains all access certificates of the user creating this data record in its corresponding fields. For example, if a data record DS is created by the user (e.g. user, local process or external monitoring system) “U1” and the user U1 has exactly 3 types of certificates (a read access certificate “U1.Z-Cert [R] ", a write access certificate" U1.Z-Zert [W] "and an index access certificate" U1.Z-Zert [S] "), copies of exactly these 3 access certificates are made when the Data record DS is created from the ID database and saved in the corresponding fields of the data record DS. If the user U1 now grants another user U2 reading rights with regard to the data record DS, this means that this read access certificate “U1.Z-Zert [R]” of the user U1 and the user certificate is assigned in the ID database of the user U2 is saved. If the user (eg user, local process or external monitoring system) "U2" now wants to access the data record DS at a later point in time, the user data database containing the data record DS automatically sends an in response to the access request from user U2 Authorization request to the ID database together with the access rights of the creator U1 stored in the data record DS. The ID database then checks whether a user certificate assigned to the user U2 is stored in the ID database linked to one or more of the access rights of the creator U1 stored in the data record DS. He is only allowed to access the data record if this is the case.
In manchen Ausführungsformen prüft die ID-Datenbank zusätzlich, ob dem Nutzer U2 in der ID-Datenbank zusätzlich ein Eigner-Zertifikat für die Nutzdaten-Datenbank zugewiesen ist, die den einen Datensatz enthält. Nur falls die ID-Datenbank ein dem Nutzer U2 zugeordnetes Nutzer-Zertifikat enthält, das mit ein oder mehreren der in dem Datensatz DS gespeicherten Zugriffsrechte des Erstellers U1 verknüpft gespeichert ist, und falls der Nutzer U2 außerdem Eigner der Nutzdaten-Datenbank ist, darf er auf den Datensatz zugreifen.In some embodiments, the ID database additionally checks whether the user U2 is additionally assigned an owner certificate for the user data database that contains the one data record in the ID database. Only if the ID database contains a user certificate assigned to the user U2, which is stored linked to one or more of the access rights of the creator U1 stored in the data record DS, and if the user U2 is also the owner of the user data database, he may access the data set.
Nach Ausführungsformen umfasst das zumindest eine Zugriffs-Zertifikat, dass vorzugsweise als Bestandteil des erstellten Datensatzes gespeichert ist, mehrere Zugriffs-Zertifikate für jeweils andere Zugriffsarten. Die mehreren Zugriffs-Zertifikate umfassen zum Beispiel ein Schreibzugriffs-Zertifikat Z.Zert_U2[W] des erstellenden Nutzers, und/oder ein Lesezugriffs-Zertifikat Z.Zert_U2[R] des erstellenden Nutzers und/oder ein Indexzugriffs-Zertifikat Z.Zert_U2[S].According to embodiments, the at least one access certificate, which is preferably stored as part of the data record created, comprises a plurality of access certificates for other types of access in each case. The multiple access certificates include, for example, a write access certificate Z.Zert_U2 [W] of the creating user, and / or a read access certificate Z.Zert_U2 [R] of the creating user and / or an index access certificate Z.Zert_U2 [S ].
Nach Ausführungsformen wird die Prüfung und/oder Verwaltung der Zugriffsberechtigungen, also z.B. die Erzeugung und Prüfung von Nutzer-Zertifikaten, Eigner-Zertifikaten, Zugriffs-Zertifikaten und/oder entsprechenden Kettenobjekten von einem auf dem Überwachungssystem instanziierten Zugriffs-Verwaltungssystem, das z.B. als Zugriffs-Verwaltungsprogramm ausgebildet sein kann, implementiert.According to embodiments, the checking and / or management of the access authorizations, i.e. for example the generation and checking of user certificates, owner certificates, access certificates and / or corresponding chain objects, is carried out by an access management system instantiated on the monitoring system, which can be used, for example, as an access Management program can be designed, implemented.
Das Zugriffs-Verwaltungssystem erzeugt gemäß Ausführungsformen der Erfindung automatisch für jede der Zugriffsarten eine Indexstruktur aus den Zugriffs-Zertifikaten sämtlicher Datensätze, die diese Zugriffsart spezifiziert. So kann zum Beispiel ein erster Index für die Schreibzugriffs-Zertifikate, ein zweiter Index für die Lesezugriffs-Zertifikate und ein dritter Index für die Index Zugriffs-Zertifikate sowie ein weiterer Index für die Nutzdaten selbst erstellt werden. In Antwort auf eine Datenbankfrage eines Nutzers, die auf einen oder mehrere der für die Nutzdaten-Datenbank erstellten Indices der Zugriffs-Zertifikate zugreift, prüft das Zugriffs-Verwaltungssystem, ob dem Nutzer ein Indexzugriffs-Zertifikat (Z.Zert_U2[S]), welches einem Nutzer Kenntnis der Existenz des Datensatzes in der Nutzdaten-Datenbank und einen lesenden Zugriff auf Metadaten des Datensatzes ermöglicht, zugewiesen ist. Diese Prüfung kann insbesondere durch die Nutzdaten-Datenbank in Interoperation mit der ID-Datenbank und gegebenenfalls weiteren Modulen, zum Beispiel dem ID-Management-Modul, erfolgen. Die Nutzdaten-Datenbank ermöglicht dem anfragenden Nutzer die Verwendung der ein oder mehreren Indices zur Ausführung der Datenbankabfrage nur dann, wenn dem anfragenden Nutzer das Indexzugriffs-Zertifikat zugewiesen ist.According to embodiments of the invention, the access management system automatically generates an index structure for each of the access types from the access certificates of all data records which this access type specifies. For example, a first index for the write access certificates, a second index for the read access certificates and a third index for the index access certificates as well as a further index for the user data itself can be created. In response to a database question from a user who accesses one or more of the indices of the access certificates created for the user data database, the access management system checks whether the user has received an index access certificate (Z.Zert_U2 [S]), which a user is assigned knowledge of the existence of the data record in the user data database and read access to metadata of the data record. This check can in particular be carried out by the user data database in interoperation with the ID database and possibly other modules, for example the ID management module. The user data database enables the requesting user to use the one or more indices to execute the database request only if the requesting user has been assigned the index access certificate.
Dies kann vorteilhaft sein, da über den Index eine schnelle Abfrage einer Zugriffsberechtigungsstatistik über die Datensätze einer Datenbank im Hinblick auf mehrere verschiedene Nutzer durchgeführt werden kann. Aus dieser geht dann zum Beispiel hervor, welche der bei dem Zugriffs-Verwaltungssystem registrierten Nutzer im Hinblick auf welche Datensätze zum Lesen, Schreiben und oder Indexzugriff berechtigt ist. Allerdings wird über eine Anfrage, die durch das Indexzugriffs-Zertifikat ermöglicht wird, nur eine statistische Auskunft über mehrere Datensätze gegeben, ein lesender oder schreibenden Zugriff auf die Nutzdaten der Datensätze ist in den Rechten, die einen Indexzugriffs-Zertifikat gewährt, nicht umfasst.This can be advantageous because the index can be used to quickly query access authorization statistics for the data records of a database with regard to several different users. This then shows, for example, which of the users registered with the access management system is authorized to read, write and / or index access to which data records. However, via a request that is made possible by the index access certificate, only statistical information is given about several data records, read or write access to the user data of the data records is not included in the rights granted by an index access certificate.
Ausführungsformen können den Vorteil haben, dass das Zugriffs-Zertifikat getrennt von den übrigen Nutzdaten indiziert werden kann, sodass über den Index eine schnelle Suche nach Datensätzen, die ein bestimmter Nutzer erstellt hat, möglich ist.Embodiments can have the advantage that the access certificate can be indexed separately from the other useful data, so that a quick search for data records that a specific user has created is possible via the index.
In der ID-Datenbank sind gemäß Ausführungsformen eine Vielzahl Zugriffsermächtigungskettenobjekten gespeichert. Jedes Zugriffsermächtigungskettenobjekt beinhaltet eines der Zugriffs-Zertifikate und ein oder mehrere der Nutzer-Zertifikate, wobei die Reihung der Nutzer-Zertifikate in dem Zugriffsermächtigungskettenobjekt die Sequenz der Nutzer widergibt, die dieses Zugriffs-Zertifikat einem jeweils anderen Nutzer, dessen Nutzer-Zertifikat in dem Zugriffsermächtigungskettenobjekt enthalten ist, zugewiesen haben. Die Reihung der Nutzer-Zertifikate in dem Zugriffsermächtigungskettenobjekt gibt die Sequenz der Gewährung des in dem Zugriffs-Zertifikat spezifizierten Rechtes ausgehend von dem durch das erste Nutzer-Zertifikat in dem Zugriffsermächtigungskettenobjekt repräsentierten Nutzer an.According to embodiments, a plurality of access authorization chain objects are stored in the ID database. Each access authorization chain object contains one of the access certificates and one or more of the user certificates, the order of the user certificates in the access authorization chain object reflecting the sequence of users who give this access certificate to another user, whose user certificate is in the access authorization chain object is included, have assigned. The ranking of the user certificates in the access authorization chain object indicates the sequence of granting the right specified in the access certificate based on the user represented by the first user certificate in the access authorization chain object.
Die weitere Prüfung der Anfrage umfasst eine Prüfung, ob in der ID-Datenbank ein Zugriffsermächtigungskettenobjekt existiert, das ein Zugriffs-Zertifikat beinhaltet, das identisch ist zu dem in der Anfrage enthaltene Berechtigungsnachweis, wobei dieses Zugriffsermächtigungskettenobjekt dieses Zugriffs-Zertifikat dem Anfragenutzer-Zertifikat direkt oder über eine Kette aus ein oder mehreren weiteren Nutzer-Zertifikaten zuweist, wobei diese Zuweisung die Gewährung des in dem Zugriffs-Zertifikat spezifizierten Rechtes an den durch das Anfragenutzer-Zertifikat repräsentierten Anfrage-Nutzers belegt.The further check of the request includes a check as to whether there is an access authorization chain object in the ID database that contains an access certificate that is identical to the credentials contained in the request, this access authorization chain object this access certificate directly or the request user certificate via a chain of one or more further user certificates, this assignment proving the granting of the right specified in the access certificate to the request user represented by the request user certificate.
Die weitere Prüfung ergibt nur dann, wenn die ID-Datenbank ein solches Zugriffsermächtigungskettenobjekt enthält, dass die Anfrageeinheit die Statusdaten übermitteln und/oder das Überwachungsobjekt steuern darf (z.B. also zur Veranlassung der Ausführung einer entsprechenden Hardware- oder Software Funktionalität des Überwachungssystems berechtigt ist).The further check only results if the ID database contains such an access authorization chain object that the request unit is allowed to transmit the status data and / or control the monitoring object (e.g. is authorized to initiate the execution of a corresponding hardware or software functionality of the monitoring system).
Ausführungsformen der Erfindung können den Vorteil haben, dass einzelnen Nutzern bzw. Überwachungssystemen die Möglichkeit gegeben werden kann, mittels Zugriffsermächtigungskettenobjekten Zugriffsrechte auf eigene (über den zumindest einen eigenen Sensor erfasste) Datensätze, die Zustandsdaten des aktuell oder ehemals operativ gekoppelten Überwachungsobjekts enthalten, in delegierbarer oder nicht-delegierbarer Form anderen Nutzern bzw. Überwachungssystemen einzuräumen.Embodiments of the invention can have the advantage that individual users or monitoring systems can be given the possibility, by means of access authorization chain objects, to delegate or delegate access rights to their own data records (recorded via the at least one own sensor) that contain status data of the currently or formerly operationally linked monitoring object to grant other users or monitoring systems in a non-delegable form.
Nach Ausführungsformen ist der Nutzdaten-Datenbank ist ein Eigner-Zertifikat zugeordnet. Das Eigner-Zertifikat wiederum ist in der ID-Datenbank einem Nutzer-Zertifikat eines Nutzers zugeordnet. Ein Eigner-Zertifikat ist ein Zertifikat, das einer oder mehreren Nutzdaten-Datenbanken zugeordnet ist und jedem Nutzer, dem es zugeordnet ist, das Recht gewährt, Datensätze in dieser Nutzdaten-Datenbank anzulegen.According to embodiments, the user data database is assigned an owner certificate. The owner certificate is in turn assigned to a user certificate of a user in the ID database. An owner certificate is a certificate that is assigned to one or more user data databases and grants every user to whom it is assigned the right to create data records in this user data database.
Die weitere Prüfung der Anfrage umfasst eine Prüfung, ob die Anfrage ein Nutzer-Zertifikat enthält, welches in der ID-Datenbank dem Eigner-Zertifikat der Nutzdaten-Datenbank zugeordnet ist, wobei die weitere Prüfung nur dann, wenn dies der Fall ist, ein positives Ergebnis ergibt, also beispielsweise zum Ergebnis hat, dass die Anfrageeinheit hinreichend berechtigt ist.The further check of the request includes a check as to whether the request contains a user certificate which is assigned to the owner certificate of the user data database in the ID database, the further check only being positive if this is the case Result results, so for example has the result that the query unit is sufficiently authorized.
Dies kann vorteilhaft sein, da jeder Nutzer bzw. jedes Überwachungssystem, dem ein Nutzer-Zertifikat in der ID-Datenbank zugewiesen ist, auch auf der untersten „Rechte-Ebene“, volle Kontrolle über die von ihm erstellten Datensätze der Nutzdaten-Datenbank erlangt: auch wenn ein anderer Nutzer, z.B. die Anfrageeinheit oder ein anderes Überwachungssystem, dem Nutzer, dem das Überwachungssystem zugewiesen ist, ein Eigner-Zertifikat für die Nutzdaten-Datenbank hat und also berechtigt ist, dort eigene Datensätze anzulegen, bedeutet dies nicht, dass dieser Nutzer automatisch auch lesenden oder manipulierenden Zugriff auf die von anderen Nutzern erstellten Daten hat. Damit wird der Datenschutz enorm erhöht, denn bei dem die Daten erzeugenden Nutzer („Erzeuger-Nutzer“) kann es sich um externe Systeme handeln, welchen nicht komplett vertraut wird. Beispielsweise kann ein Eigner-Zertifikat für eine Nutzdaten-Datenbank an weiteres Überwachungssystem ausgestellt werden, sodass dieses Daten, z.B. trainierte ML-Modelle, in die Nutzdaten-Datenbank schreiben kann. Die Daten können beispielsweise in einer Anfrage enthalten sein, die wie beschrieben zweistufig geprüft wird. Dies bedeutet aber nicht automatisch, dass andere Überwachungssysteme, die ebenfalls Eigner-Rechte für diese Nutzdaten-Datenbank, lesend auf diese Datensätze zugreifen können. Dies ist vielmehr nur möglich, wenn ein Nutzer, der einen bestimmten Datensatz anlegt, ein oder mehreren Zugriffsrechte bezüglich der von diesem Nutzer erstellten Datensätzen explizit an diese anderen Überwachungssysteme zuweist. In einem vorteilhaften Aspekt können manche Ausführungsformen also ein hohes Maß an Datenschutz gewährleisten, da eine Prüfung zweier unabhängiger Parameter vor Zugriffsgewährung erfolgt (sowohl bezüglich der Eignerschaft als auch bezüglich der Zugriffsberechtigung). Somit kann ein komplexes Rechtemanagement etabliert werden, welches einen koordinierte und sicheren Datenaustausch zwischen mehreren vernetzten Überwachungssystemen und/oder Zugriff auf lokale Speicherbereiche anderer Überwachungssysteme ermöglicht. Dies kann insbesondere in Anwendungsszenarien vorteilhaft sein, wo eine Vielzahl von Überwachungssystemen autonom ein jeweils operativ gekoppeltes Überwachungsobjekt überwachen, wobei die Überwachungssysteme sich aber dennoch für spezifische Funktionen, z.B. Softwareupdates, Synchronisation von Trainingsdaten oder trainierten ML-Modellen etc. auf sichere und kontrollierte Weise austauschen. Beispielsweise können alle oder eine größere Zahl von sensorbestückten Überwachungssystemen für die verschiedenen Komponenten eines Fahrzeugs oder Gebäudes zwar autonom den Zustand der an sie gekoppelten Fahrzeugkomponente bzw. Gebäudekomponente überwachen, sie können jedoch dennoch Daten miteinander austauschen, z.B. die erfassten Sensorwerte oder Anfragen, die Vorhersagen, insbesondere Warnungen oder ML-Modelle beinhalten. Die Überwachungseinheiten des Fahrzeugs bzw. des Gebäudes bilden somit eine aus semiautonomen Überwachungseinheiten bestehendes „Überwachungsnetzwerk“ bzw. verteiltes Überwachungssystem. Dies kann die Funktionalität erheblich verbessern. Falls beispielsweise das Kühlwasser-Überwachungssystem auf Basis der lokal erfassten Messwerte eine Vorhersage berechnet, dass der Motor bei gleichbleibend raschem Temperaturanstieg in 10 Minuten eine kritische Temperatur erreichen und die Leistung drosseln wird, kann das Motor-Überwachungssystem als Anfrageeinheit agieren und eine Anfrage mit dieser Nachricht und einem Berechtigungsnachweis für das Schreiben eines bestimmten, „warnungsbezogenen“ Datensatzes in die jeweiligen lokalen Nutzdaten-Datenbanken an alle in dem Motor-Überwachungssystem gespeicherten Adressen weiterer Überwachungssysteme des Fahrzeugs senden. Diese können nach Durchführung der mehrstufigen Prüfung dieser Warnungsanfrage die Warnung lokal speichern und danach autonom entscheiden, ob und wie sie auf diese Warnmeldung reagieren.This can be advantageous because every user or every monitoring system to which a user certificate is assigned in the ID database, also on the lowest "rights level", has full control over the data records created by him in the user data database: Even if another user, e.g. the query unit or another monitoring system, the user to whom the monitoring system is assigned, has an owner certificate for the user data database and is therefore authorized to create his own data records there, this does not mean that this user automatically has read or manipulative access to the data created by other users. This increases data protection enormously, because the user generating the data ("producer-user") can be an external system that is not completely trusted. For example, an owner certificate for a user data database can be issued to another monitoring system so that it can write data, for example trained ML models, into the user data database. The data can, for example, be contained in a request that is checked in two stages as described. However, this does not automatically mean that other monitoring systems, which also have owner rights for this user data database, can have read access to these data records. Rather, this is only possible if a user who creates a specific data record explicitly assigns one or more access rights with regard to the data records created by this user to these other monitoring systems. In an advantageous aspect, some embodiments can therefore ensure a high level of data protection, since two independent parameters are checked before access is granted (both with regard to ownership and with regard to access authorization). Thus, a complex rights management can be established, which enables a coordinated and secure data exchange between several networked monitoring systems and / or access to local storage areas of other monitoring systems. This can be particularly advantageous in application scenarios where a large number of monitoring systems autonomously monitor an operationally coupled monitoring object, but the monitoring systems nevertheless exchange information in a safe and controlled manner for specific functions, e.g. software updates, synchronization of training data or trained ML models, etc. . For example, all or a larger number of sensor-equipped monitoring systems for the various components of a vehicle or building can autonomously monitor the status of the vehicle components or building components coupled to them, but they can still exchange data with one another, e.g. the recorded sensor values or queries that make predictions, in particular contain warnings or ML models. The monitoring units of the vehicle or the building thus form a “monitoring network” or distributed monitoring system consisting of semi-autonomous monitoring units. This can greatly improve functionality. If, for example, the cooling water monitoring system calculates a prediction based on the locally recorded measured values that the engine will reach a critical temperature in 10 minutes with a consistently rapid temperature rise and throttle the power, the engine monitoring system can act as a query unit and send a query with this message and send proof of authorization for writing a specific, “warning-related” data record in the respective local user data databases to all addresses of further monitoring systems of the vehicle stored in the engine monitoring system. After carrying out the multi-stage check of this warning request, they can save the warning locally and then decide autonomously whether and how to react to this warning message.
In einem weiteren Aspekt können Ausführungsformen der Erfindung sicherstellen, dass technische Administratoren, die z.B. das Überwachungssystem bereitstellen und administrieren, im Hinblick auf die Zugriffsrechte auf die in den Nutzdaten-Datenbanken gespeicherten Informationen keine besonderen Zugriffsrechte besitzen.In a further aspect, embodiments of the invention can ensure that technical administrators who, for example, provide and administer the monitoring system, do not have any special access rights with regard to the access rights to the information stored in the user data databases.
Nach Ausführungsformen ist die Nutzdaten-Datenbank des Überwachungssystems frei von Zugriffsermächtigungskettenobjekten. Die Datensätze der Nutzdaten-Datenbank beinhalten neben den Nutzdaten nur die Zugriffs-Zertifikate, die dem Nutzer, welcher diesen Datensetz erstellt hat, Zugriff auf diesen Datensatz gewähren.According to embodiments, the user data database of the monitoring system is free of access authorization chain objects. In addition to the user data, the data records in the user data database only contain the access certificates that grant the user who created this data record access to this data record.
Nach Ausführungsformen ist die ID-Datenbank dazu ausgebildet, auf Anfrage Berechtigungstoken für einen anfragenden Nutzer (z.B. für ein anfragendes Überwachungssystem, dem ein Nutzer-Zertifikat zugewiesen ist) zu erzeugen. Die Nutzdaten-Datenbank ist dazu ausgebildet, die Berechtigung auf Basis des Berechtigungstokens zu prüfen.According to embodiments, the ID database is designed to generate authorization tokens for an inquiring user (e.g. for an inquiring monitoring system to which a user certificate is assigned) upon request. The user data database is designed to check the authorization on the basis of the authorization token.
Ausführungsformen können den Vorteil haben, dass die Trennung von Nutzdatenhaltung in einer Datenbank und die Speicherung von Zugriffs- und Nutzer-Zertifikaten in einer anderen Datenbank in Kombination mit der Ausstellung und Prüfung von Berechtigungstoken im Zusammenwirken der beiden Datenbanken eine sehr feingranulare Zugriffskontrolle ermöglicht. Die damit einhergehenden Rechenoperationen werden erst im Zuge der weiteren Berechtigungsprüfung durchgeführt, also nur dann, wenn die initiale Prüfung mit einem positiven Ergebnis (die Anfrage ist vertrauenswürdig) beendet wurde. Zudem können Ausführungsformen den Vorteil haben, dass ein Export von Nutzdaten in andere Überwachungssysteme möglich ist, ohne das gesamte in einem bestimmten Überwachungssystem verwendete Zugriffsrechtemanagement, das im Wesentlichen in der ID-Datenbank gespeichert ist, ebenfalls auf das andere Überwachungssystem übertragen wird, sodass hier jedes Überwachungssystem weiterhin sein eigenes Rechtemanagement aufrechterhalten kann.Embodiments can have the advantage that the separation of user data storage in one database and the storage of access and user certificates in another database in combination with the issuing and checking of authorization tokens in the interaction of the two databases enables very fine-grained access control. The associated arithmetic operations are only carried out in the course of the further authorization check, i.e. only if the initial check has ended with a positive result (the query is trustworthy). In addition, embodiments can have the advantage that it is possible to export user data to other monitoring systems without the entire access rights management used in a specific monitoring system, which is essentially stored in the ID database, is also transferred to the other monitoring system, so that here each Monitoring system can continue to maintain its own rights management.
Nach Ausführungsformen umfasst die Anfrage eine Zugriffsanfrage eines Anfrage-Nutzers (Anfrageeinheit, z.B. weiteres Überwachungssystem für das gleiche oder ein anderes Überwachungsobjekt oder ein Nutzer, dem diese Anfrageeinheit zugeordnet ist) auf einen Datensatz, den ein Ersteller-Nutzer in der Nutzdaten-datenbank angelegt hat. Das Überwachungssystem ist konfiguriert zum:
- - Ermitteln der Zugriffs-Zertifikate des Ersteller-Nutzers (also eines Nutzers oder Überwachungssystems, welches diesen Datensatz initial erzeugt und in der Nutzdaten-Datenbank gespeichert hat), die in der Nutzdaten-Datenbank als Bestandteil des einen Datensatzes gespeichert sind, durch die Nutzdaten-Datenbank;
- - Senden des Anfrage-Nutzer-Zertifikats, das dem Nutzer der Anfrageeinheit zugeordnet ist, und der ermittelten Zugriffs-Zertifikate, an die ID-Datenbank;
- - In Antwort auf den Empfang des Anfrage-Nutzer-Zertifikats und der ermittelten Zugriffs-Zertifikate, Generierung eines Berechtigungstokens durch die ID-Datenbank, wobei der Berechtigungstoken angibt, ob der Anfrage-Nutzer dem einen Datensatz durch zumindest eines der Zugriffsermächtigungskettenobjekte zugewiesen ist;
- - Übermittlung des Berechtigungstokens von der ID-Datenbank an die Nutzdaten-Datenbank;
- - Prüfung, durch die Nutzdaten-Datenbank, anhand des Berechtigungstoken, ob dem Anfrage-Nutzer ob dem Anfrage-Nutzer die erforderlichen Zugriffsrechte in Form von Zugriffs-Zertifikate in Bezug auf den einen Datensatz zugewiesen sind;
- - Determination of the access certificates of the creator-user (i.e. a user or monitoring system that initially generated this data record and stored it in the user data database), which are stored in the user data database as part of the one data record, by the user data Database;
- - Sending the request user certificate, which is assigned to the user of the request unit, and the determined access certificates, to the ID database;
- - In response to the receipt of the request user certificate and the determined access certificates, generation of an authorization token by the ID database, the authorization token indicating whether the request user is assigned to the one data record by at least one of the access authorization chain objects;
- - Transmission of the authorization token from the ID database to the user data database;
- - Check, by the user data database, on the basis of the authorization token, whether the request user whether the request user has been assigned the necessary access rights in the form of access certificates with respect to the one data record;
Die Nutzdaten-Datenbank ist dazu konfiguriert, dem Anfrage-Nutzer Zugriff auf den einen Datensatz nur in dem Umfang der Zugriffs-Zertifikate zu gewähren, welche dem Anfrage-Nutzer in dem Berechtigungstoken zugewiesenen sind.The user data database is configured to grant the request user access to the one data record only to the extent of the access certificates which are assigned to the request user in the authorization token.
Nach manchen Ausführungsformen wird zusätzlich noch das Vorliegen eines Eigner-Zertifikats in die Prüfung einbezogen. Beispielsweise umfasst die Anfrage eine Zugriffsanfrage eines Anfrage-Nutzers, der die Anfrageeinheit repräsentiert, auf einen Datensatz, den ein Ersteller-Nutzer in der Nutzdaten-datenbank angelegt hat. Das Überwachungssystem ist konfiguriert zum:
- - Ermitteln der Zugriffs-Zertifikate des Ersteller-Nutzers (also eines Nutzers bzw. Überwachungssystems, welches diesen Datensatz initial erzeugt und in der Nutzdaten-Datenbank gespeichert hat), die in der Nutzdaten-Datenbank als Bestandteil des einen Datensatzes gespeichert sind, durch die Nutzdaten-Datenbank;
- - Senden des Anfrage-Nutzer-Zertifikats, das die Anfrageeinheit repräsentiert, und der ermittelten Zugriffs-Zertifikate, an die ID-Datenbank;
- - In Antwort auf den Empfang des Anfrage-Nutzer-Zertifikats und der ermittelten Zugriffs-Zertifikate, Generierung eines Berechtigungstoken durch die ID-Datenbank, wobei der Berechtigungstoken angibt, ob der Anfrage-Nutzer einem Eigner-Zertifikat der Nutzdaten-Datenbank durch zumindest eines der Eignerschaftsermächtigungskettenobjekte zugewiesen ist und ob der Anfrage-Nutzer dem einen Datensatz durch zumindest eines der Zugriffsermächtigungskettenobjekte zugewiesen ist;
- - Übermittlung des Berechtigungstoken von der ID-Datenbank an die Nutzdaten-Datenbank;
- - Prüfung, durch die Nutzdaten-Datenbank, anhand des Berechtigungstoken, ob dem Anfrage-Nutzer ein Eigner-Zertifikat für die Nutzdaten-Datenbank zugewiesen ist und ob dem Anfrage-Nutzer die erforderlichen Zugriffsrechte in Form von Zugriffs-Zertifikate in Bezug auf den einen Datensatz zugewiesen sind;
- - Determination of the access certificates of the creator-user (i.e. of a user or monitoring system that initially generated this data record and stored it in the user data database), which are stored in the user data database as part of the one data record, by means of the user data -Database;
- - Sending the request user certificate, which represents the request unit, and the determined access certificates, to the ID database;
- - In response to the receipt of the request user certificate and the determined access certificates, generation of an authorization token by the ID database, the authorization token indicating whether the request user has an owner certificate of the user data database by at least one of the Ownership authorization chain objects are assigned and whether the request user is assigned to the one data record by at least one of the access authorization chain objects;
- - Transmission of the authorization token from the ID database to the user data database;
- - Check, by the user data database, on the basis of the authorization token, whether the request user has been assigned an owner certificate for the user data database and whether the request user has the necessary access rights in the form of access certificates with regard to the one data record are assigned;
Die Nutzdaten-Datenbank ist dazu konfiguriert, dem Anfrage-Nutzer einen Aufbau einer Datenbankverbindung zu der Nutzdaten-Datenbank nur dann zu gewähren, wenn diesem ein Eigner-Zertifikat für die Nutzdaten-Datenbank zugewiesen ist und dem Anfrage-Nutzer Zugriff auf den einen Datensatz nur in dem Umfang zu gewähren, den ihm die Zugriffs-Zertifikate im Berechtigungstoken einräumen.The user data database is configured to allow the request user to set up a database connection to the user data database only if the user has been assigned an owner certificate for the user data database and the request user only has access to the one data record to the extent that it is granted by the access certificates in the authorization token.
Dies kann vorteilhaft sein, da einem Nutzer, der kein Eigner-Zertifikat hat, von vorneherein schon der Verbindungsaufbau zu der Nutzdaten-Datenbank verwehrt wird. Somit kann auf einfache Weise global sichergestellt werden (z.B. durch Entzug des Eigner-Zertifikats), dass ein bestimmter Nutzer (bzw. bestimmter Überwachungssystem oder Anfrageeinheit, das von diesem Nutzer repräsentiert wird) auf keinerlei Daten einer bestimmten Nutzdaten-Datenbank mehr zugreifen kann, ohne dass hierfür ggf. eine große Zahl an Nutzern bzw. Überwachungssystemen, die diesem Nutzer bzw. Überwachungssystem ein Zugriffsrecht für die von ihnen jeweils erstellte Datensätze eingeräumt haben, diesem einen Nutzer die Zugriffsrechte einzeln entziehen müssten. Durch Zuweisung oder Entziehung (z.B. Invalidierung oder Verweigerung einer erneuten Ausstellung nach dem Ablauf eines aktuellen Eigner-Zertifikats (typische Validitätsdauer z.B. innerhalb einiger Tage, Wochen oder Monate)) kann also ein relativ weitreichender, global gut kontrollierbarer Zugriffsschutz für sämtliche in einer Datenbank gespeicherten Daten bereitgestellt werden. Falls beispielsweise ein bestimmtes Überwachungssystem in seiner Nutzdaten-Datenbank Messwerte sammelt, die von mehreren anderen Überwachungssystemen für verschiedene Überwachungsobjekte erfasst wurden, und falls erkannt wird, dass eines dieser Überwachungssysteme wegen eines Kalibrierungsfehlers seines Sensors falsche Messdaten liefert, kann diesem einen Überwachungssystem einfach das Eignerschafts-Zertifikat für die Nutzdatenbank entzogen werden, um die Nutzdaten-Datenbank davor zu schützen, mit fehlerhaften Daten beschickt zu werden. Dies kann insbesondere dann vorteilhaft sein, wenn diese Daten die Datenbasis für Vorhersagen bilden oder zum Trainieren von ML-Modellen (Machine-Learning-Modellen) verwendet werden.This can be advantageous because a user who does not have an owner certificate is prevented from establishing a connection to the user data database from the outset. This makes it possible to ensure globally in a simple manner (e.g. by withdrawing the owner certificate) that a specific user (or specific monitoring system or query unit represented by this user) can no longer access any data from a specific user data database without that for this purpose a large number of users or monitoring systems, who have granted this user or monitoring system access rights for the data records they have created, would have to withdraw the access rights from this one user individually. Through assignment or withdrawal (e.g. invalidation or refusal to reissue after the expiry of a current owner certificate (typical period of validity e.g. within a few days, weeks or months)), a relatively far-reaching, globally easily controllable access protection for all data stored in a database to be provided. If, for example, a certain monitoring system collects measured values in its user data database that have been recorded by several other monitoring systems for different monitoring objects, and if it is recognized that one of these monitoring systems is supplying incorrect measurement data due to a calibration error of its sensor, this one monitoring system can simply assign the ownership Certificate for the user database are withdrawn in order to protect the user data database from being loaded with incorrect data. This can be particularly advantageous if this data forms the database for predictions or is used to train ML models (machine learning models).
Beispielsweise kann es sich bei der Anfrage um eine Anfrage handeln, einen künftigen technischen Parameterwert - z.B. auf der Basis der in der Nutzdaten-Datenbank gespeicherten Datensätze - vorherzusagen und zurückzugeben. Bei dem Datensatz, auf den Zugriff begehrt wird, kann es sich z.B. um ein Machine-Learning Modell handeln, welches in einem Trainingsprozess auf lokalen Trainingsdaten gelernt hat, einen künftigen Wert eines bestimmten Parameters (z.B. eines Zustands- und/oder Leistungsparameters des Überwachungsobjekts) vorherzusagen. Beispielsweise könnte der vorherzusagende Parameterwert der voraussichtliche Zeitpunkt sein, wann ein bestimmtes Bauteil, das als Überwachungsobjekt fungiert, aufgrund von Materialermüdung ausgetauscht werden muss, wobei die Parameterwerte auf deren Basis diese Vorhersage berechnet wird, aktuelle Schwingungsparameterwerte sind, die von Sensoren des operativ an dieses Bauteil gekoppelten Überwachungssystems erfasst werden.For example, the request can be a request to predict and return a future technical parameter value - for example on the basis of the data records stored in the user data database. The data set to which access is requested can be, for example, a machine learning model that has learned in a training process on local training data, a future value of a certain parameter (e.g. a status and / or performance parameter of the monitoring object) to predict. For example, the parameter value to be predicted could be the probable point in time when a specific component that functions as a monitoring object, based on Material fatigue must be replaced, the parameter values on the basis of which this prediction is calculated, are current vibration parameter values that are recorded by sensors of the monitoring system that is operatively coupled to this component.
Nach Ausführungsformen beinhaltet jedes der Eigner-Zertifikate einen Delegierbarkeitsparameter, welcher entweder den Datenwert „DELEGIERBAR“ oder den Datenwert „NICHT DELEGIERBAR“ annehmen kann. Eine zur Erstellung der Eigner-Zertifikate verwendete Programmlogik, z.B. ein ID-Management Modul, ist so konfiguriert, dass
- - ein Nutzer, dem ein Eigner-Zertifikat für die Nutzdaten-Datenbank zugeordnet ist und welcher ein Eigner-Zertifikat für einen anderen Nutzer für diese Nutzdaten-Datenbank erstellt, den Delegierbarkeitsparameter des erstellten Eigner-Zertifikats unabhängig vom Delegierbarkeitsparameter des ihm zugeordneten Eigner-Zertifikats auf „NICHT DELEGIERBAR“ setzen kann, den Delegierbarkeitsparameter des erstellten Eigner-Zertifikats jedoch nur dann auf „DELEGIERBAR“ setzen kann, wenn der Delegierbarkeitsparameter seines Eigner-Zertifikats den Wert „DELEGIERBAR“ hat; und
- - ein Nutzer, welchem eine Eigner-Zertifikat für eine Nutzdaten-Datenbank zugeordnet ist, dessen Delegierbarkeitsparameter den Wert „NICHT DELEGIERBAR“ hat, keine weiteren Eigner-Zertifikate für andere Nutzer für diese Nutzdaten-Datenbank erstellen kann.
- - a user who is assigned an owner certificate for the user data database and who creates an owner certificate for another user for this user data database, the delegation parameter of the owner certificate created independently of the delegation parameter of the owner certificate assigned to him Can set "NOT DELEGATABLE", but can only set the delegatability parameter of the created owner certificate to "DELEGATABLE" if the delegatability parameter of its owner certificate has the value "DELEGATABLE"; and
- - a user who is assigned an owner certificate for a user data database whose delegation parameter has the value “NOT DELEGATABLE” cannot create any further owner certificates for other users for this user data database.
Nach alternativen Ausführungsformen beinhaltet ein Datenobjekt, das ein Eigner-Zertifikat einem bestimmten Nutzer zuweist oder das das Eigner-Zertifikat einer Kette aus zwei oder mehr Nutzern, die sich das Eigner-Recht zugewiesen haben, zuweist, den Delegierbarkeitsparameter. Ein solches Objekt, im Folgenden auch als Eignerschaftermächtigungskettenobjekt bezeichnet, kann z.B. in Form einer neuen Kopie erzeugt und in der ID-Datenbank gespeichert werden sobald eine Kette aus Nutzern, die sich das Eigner-Recht für eine Nutzdaten-Datenbank zugewiesen haben, um ein Kettenglied (also z.B. ein weiteres Nutzer-Zertifikat) erweitert wird. Der Delegierbarkeitsparameter kann entweder den Datenwert „DELEGIERBAR“ oder den Datenwert „NICHT DELEGIERBAR“ annehmen.According to alternative embodiments, a data object which assigns an owner certificate to a specific user or which assigns the owner certificate to a chain of two or more users who have assigned the owner right contains the delegatability parameter. Such an object, hereinafter also referred to as an ownership authorization chain object, can be generated, for example, in the form of a new copy and stored in the ID database as soon as a chain of users who have assigned the owner right for a user data database to a chain link (e.g. another user certificate) is extended. The delegatability parameter can either have the data value "DELEGATABLE" or the data value "NOT DELEGATABLE".
Ausführungsformen können den Vorteil haben, dass ein hoher Grad an Dynamik und Flexibilität im Hinblick auf die Vergabe der Zugriffsrechte ermöglicht werden kann: typischerweise wird einem bestimmten Nutzer, zum Beispiel dem Geschäftsführer, ein Eigner-Zertifikat für eine bestimmte Nutzdaten-Datenbank zugeordnet. Dieses „erste/initiale“ Eigner-Zertifikat hat vorzugsweise den Delegierbarkeitsparameterwert „DELEGIERBAR“. Dieser Nutzer kann nun über die erste Schnittstelle dieses erste Eigner-Zertifikat in identischer oder modifizierter Kopie ein oder mehreren weiteren Nutzern zuordnen, sodass diese weiteren Nutzer im Hinblick auf die Nutzdaten-Datenbank ebenfalls Eigner-Rechte bekommen und Datensätze anlegen können. Dabei kann der Inhaber des ersten Eigner-Zertifikats entscheiden, ob die den weiteren Nutzern zugeordneten Eigner-Zertifikate für diese Nutzdaten-Datenbank ebenfalls delegierbar sein sollen, diese anderen Nutzer also ebenfalls die Möglichkeit haben sollen, weiteren Nutzern Eigner-Rechte bezüglich dieser Nutzdaten-Datenbank auszustellen. Falls eine modifizierte Kopie des Eigner-Zertifikats für die ein oder mehreren weiteren Nutzer erstellt wird, welches den Delegierbarkeitsparameterwert „NICHT DELEGIERBAR“ besitzt, können die weiteren Nutzer zwar eine Datenbankverbindung zu der Nutzdaten-Datenbank erstellen und dort Datensätze erzeugen, jedoch keine weiteren Eigner-Zertifikate für weitere Nutzer bezüglich dieser Nutzdaten-Datenbank ausstellen. Die Kette der ausgestellten Eigner-Zertifikate endet also notwendigerweise mit der Ausstellung von nicht weiter delegierbaren Eigner-Zertifikaten, wobei es natürlich möglich ist, das einen bestimmten Nutzer von einem Datenbank-Eigner ein delegierbares Eigner-Zertifikat ausgestellt wird und von einem anderen Datenbank-Eigner ein nicht-delegierbares Eigner-Zertifikat. In diesem Fall kann der Nutzer weitere Eigner-Zertifikate für Dritte ausstellen, jedoch wird vorzugsweise die chronologische Kette der ein Eigner-Zertifikat ausstellen Nutzer gespeichert, zum Beispiel in Form von Ermächtigungsobjekten und/oder Logeinträgen, sodass der Pfad der Verantwortungskette dokumentiert ist. Vorzugsweise erfolgt die Speicherung dieser chronologischen Kette in einer speziellen Datenbank, im folgenden „ID- Datenbank“ genannt. In analoger Weise kann der Delegierbarkeitsparameter innerhalb eines Zuweisungsobjekts, also z.B. eines Eignerschaftsermächtigungskettenobjekts, gespeichert sein und vorgeben, ob ein Nutzer weitere Zuweisungsobjekte (weitere Eignerschaftsermächtigungskettenobjekte) erstellen darf um ein Eigner-Zertifikat anderen Nutzern zuzuweisen).Embodiments can have the advantage that a high degree of dynamism and flexibility can be made possible with regard to the allocation of access rights: typically an owner certificate for a certain useful data database is allocated to a certain user, for example the manager. This “first / initial” owner certificate preferably has the delegation parameter value “DELEGATABLE”. This user can now assign this first owner certificate in an identical or modified copy to one or more other users via the first interface, so that these other users also receive owner rights with regard to the user data database and can create data records. The owner of the first owner certificate can decide whether the owner certificates assigned to the other users should also be delegable for this user data database, i.e. whether these other users should also be able to grant other users owner rights with regard to this user data database to exhibit. If a modified copy of the owner certificate is created for the one or more other users, which has the delegation parameter value "NOT DELEGATABLE", the other users can create a database connection to the user data database and generate data records there, but no further owner certificates. Issue certificates for other users with regard to this user data database. The chain of issued owner certificates therefore necessarily ends with the issuance of owner certificates that cannot be further delegated, whereby it is of course possible for a specific user to be issued a delegable owner certificate by one database owner and by another database owner a non-delegable owner certificate. In this case, the user can issue further owner certificates for third parties, but the chronological chain of the users issuing an owner certificate is preferably stored, for example in the form of authorization objects and / or log entries, so that the path of the chain of responsibility is documented. This chronological chain is preferably stored in a special database, hereinafter referred to as the “ID database”. In an analogous manner, the delegatability parameter can be stored within an assignment object, e.g. an ownership authorization chain object, and specify whether a user may create further assignment objects (further ownership authorization chain objects) in order to assign an owner certificate to other users.
Nach Ausführungsformen umfasst die ID-Datenbank einen privaten Signierschlüssel. Die Nutzdaten-Datenbank umfasst einen öffentlichen Signaturprüfschlüssel, welcher zur Prüfung der mit dem Signierschlüssel erstellten Signaturen ausgebildet ist. Das Überwachungssystem ist konfiguriert zum:
- - Signierung des Berechtigungstoken durch die ID-Datenbank mit dem Signierschlüssel, wobei der Berechtigungstoken in signierter Form an die Nutzdaten-Datenbank übermittelt wird; und
- - Prüfung, durch die Nutzdaten-Datenbank mittels des Signaturprüfschlüssels, ob die Signatur des Berechtigungstoken valide ist, wobei der Aufbau der Datenbankverbindung zwischen Anfrageeinheit und Nutzdaten-Datenbank und der Datensatzzugriff nur dann gestattet wird, wenn die Signatur valide ist.
- - Signing of the authorization token by the ID database with the signing key, the authorization token being transmitted in signed form to the user data database; and
- - Check, through the user data database by means of the signature verification key, whether the signature of the authorization token is valid, the Establishment of the database connection between the query unit and the user data database and data record access is only permitted if the signature is valid.
Ausführungsformen können den Vorteil haben, dass die Nutzdaten-Datenbank anhand der Signatur prüfen kann, dass ein Berechtigungstoken tatsächlich von der ID-Datenbank erzeugt wurde und nicht von einem nicht vertrauenswürdigen Dritten.Embodiments can have the advantage that the user data database can use the signature to check that an authorization token was actually generated by the ID database and not by an untrustworthy third party.
Nach Ausführungsformen führt die ID-Datenbank des Überwachungssystems im Zuge der Erzeugung des Berechtigungstoken beinhaltend eines der Eigner-Zertifikate eine Zertifikatskettenprüfung durch, um festzustellen, ob dieses Eigner-Zertifikat prüfbar in die Zertifikatskette des Nutzer-Zertifikats, dem dieses Eigner-Zertifikat in einem der Eignerschaftsermächtigungskettenobjekten zugewiesen ist, eingebunden ist. Die Signierung des Berechtigungstoken erfolgt nur im Falle der Feststellung einer erfolgreichen Einbindung.According to embodiments, the ID database of the monitoring system performs a certificate chain check in the course of generating the authorization token including one of the owner certificates in order to determine whether this owner certificate can be checked in the certificate chain of the user certificate to which this owner certificate is in one of the Ownership chain objects assigned is involved. The authorization token is only signed if successful integration is established.
Zusätzlich oder alternativ dazu führt die ID-Datenbank im Zuge der Erzeugung des Berechtigungstoken beinhaltend ein oder mehrere Zugriffs-Zertifikate eines Erzeuger-Nutzers (Erzeuger eines Datensatzes), eine Zertifikatskettenprüfung durch, um für jedes der Zugriffs-Zertifikate des Nutzers festzustellen, ob dieses Zugriffs-Zertifikat prüfbar in die Zertifikatskette des Nutzer-Zertifikats, dem dieses Zugriffs-Zertifikat in einem der Zugriffsermächtigungskettenobjekten zugewiesen ist, eingebunden ist, wobei die Signierung des Berechtigungstoken nur im Falle der Feststellung einer erfolgreichen Einbindung erfolgt. Die Erzeugung des Berechtigungstoken und die damit einhergehende Zertifikatskettenprüfung kann Bestandteil der weiteren Prüfung sein.In addition or as an alternative to this, the ID database carries out a certificate chain check in the course of generating the authorization token containing one or more access certificates from a producer-user (producer of a data record) in order to determine whether this access has been made for each of the user's access certificates -Certificate is verifiably incorporated into the certificate chain of the user certificate to which this access certificate is assigned in one of the access authorization chain objects, the authorization token being signed only if successful integration is established. The generation of the authorization token and the associated certificate chain check can be part of the further check.
Nach Ausführungsformen beinhaltet das Überwachungssystem ein software- oder hardwarebasiertes Zugriffs-Verwaltungssystem. Das Zugriffs-Verwaltungssystem kann dazu konfiguriert sein, eine grafische Benutzeroberfläche (GUI) bereitzustellen. Die GUI ermöglicht es Nutzern einer Organisation, weitere Eigner-Zertifikate für andere, manuell ausgewählte Nutzer (z.B. Überwachungssysteme) für eine bestimmte Nutzdaten-Datenbank zu erstellen, sofern dem ausstellenden Nutzer selbst ein entsprechendes Eigner-Zertifikat in der ID-Datenbank zugewiesen ist. Zusätzlich kann es diese Benutzeroberfläche dem Nutzer, der einen bestimmten Datensatz erstellt hat, ermöglichen, ein oder mehreren anderen manuell über die GUI ausgewählten Nutzern bzw. durch diese repräsentierte anderen Überwachungssystemen, ein oder mehrere ausgewählte Zugriffsrechte auf diesen Datensatz einzuräumen. Beispielsweise kann die GUI mehrere Personen oder Überwachungssysteme in Form einer auswählbaren Personenliste bzw. Überwachungssystemliste grafisch repräsentieren, sodass ein Nutzer der GUI durch Auswahl von ein oder mehreren Elementen aus dieser Liste die Empfänger der einzuräumenden Eigner-und Zugriffsrechte spezifizieren kann. Weitere auswählbare GUI Elemente, zum Beispiel Radio-Buttons oder Check-Boxes, können es dem Nutzer der GUI ermöglichen, durch Auswahl dieses Elementes den Delegierbarkeitsparameter des ausgestellten Zugriffs-bzw. Eigner-Zertifikats zu bestimmen (delegierbar oder nicht-delegierbar), sofern die Berechtigung des Nutzers hierfür ausreichend ist. Die GUI kann ferner über auswählbare GUI Elemente verfügen, die es einem Nutzer ermöglichen, Zugriffsrechte, die er anderen Nutzern bzw. Überwachungssystemen eingeräumt hat, auch wieder zu entziehen. Die GUI ist so konfiguriert, dass sie automatisch im Hintergrund neue Zertifikate und/oder Zuweisungen von Zertifikaten zu Nutzern bzw. Überwachungssystemen gemäß den Eingaben des Nutzers über die GUI erstellt oder invalidiert und den Inhalt der ID-Datenbank entsprechend aktualisiert.According to embodiments, the monitoring system includes a software or hardware-based access management system. The access management system can be configured to provide a graphical user interface (GUI). The GUI enables users of an organization to create additional owner certificates for other manually selected users (e.g. monitoring systems) for a specific user data database, provided that the issuing user himself has been assigned a corresponding owner certificate in the ID database. In addition, this user interface can enable the user who has created a particular data record to grant one or more selected access rights to this data record to one or more other users selected manually via the GUI or other monitoring systems represented by them. For example, the GUI can graphically represent several people or monitoring systems in the form of a selectable list of people or monitoring system list, so that a user of the GUI can specify the recipients of the owner and access rights to be granted by selecting one or more elements from this list. Further selectable GUI elements, for example radio buttons or check boxes, can enable the user of the GUI, by selecting this element, to set the delegation parameters of the access or access issue. To determine the owner certificate (delegable or non-delegable), provided that the user's authorization is sufficient. The GUI can also have selectable GUI elements that enable a user to revoke access rights that he has granted to other users or monitoring systems. The GUI is configured in such a way that it automatically creates or invalidates new certificates and / or assignments of certificates to users or monitoring systems in the background according to the inputs of the user via the GUI and updates the content of the ID database accordingly.
Nach Ausführungsformen handelt es sich bei den ein oder mehreren Nutzdaten-Datenbanken und der ID-Datenbank jeweils um eine NoSQL-Datenbank, also um eine Datenbank eines NoSQL Datenbanksystems. Vorzugsweise handelt es sich bei den NoSQL-Datenbanken jeweils um eine sogenannte „strukturlose“ Datenbank, die eine freie Definition der Art und Anzahl der Datenfelder unterstützt. Vorzugsweise ist die NoSQL-Datenbank so konfiguriert, dass der Inhalt sämtlicher Datenfelder eines jeden neuen Datensatzes automatisch indexiert wird und dass Änderungen des Inhalts der Datenbank in Form neuer Versionen gespeichert werden („versionierte Datenbank“). Vorzugsweise wird die Erzeugung neuer Zugriffs-und/oder Eigner-Zertifikate sowie die chronologische Sequenz der Nutzer, die anderen Nutzern jeweils diese Zertifikate zugewiesen haben, in einer Log (z.B. Log-Datei) der ID-Datenbank gespeichert.According to embodiments, the one or more useful data databases and the ID database are each a NoSQL database, that is to say a database of a NoSQL database system. The NoSQL databases are each preferably a so-called "structureless" database that supports a free definition of the type and number of data fields. The NoSQL database is preferably configured in such a way that the content of all data fields of each new data record is automatically indexed and that changes to the content of the database are stored in the form of new versions (“versioned database”). The generation of new access and / or owner certificates and the chronological sequence of the users who have each assigned these certificates to other users are preferably stored in a log (e.g. log file) of the ID database.
Nach Ausführungsformen handelt es sich bei dem Zugriffs-Verwaltungssystem um ein Datenbanksystem. Es ist jedoch auch möglich, dass das Zugriffsverwaltungssystem in der Firmware oder Software des Microcontrollers, in deren Speicher die Zertifikate und Ermächtigungskettenobjekte sowie die hier beschriebene Programmlogik implementiert sein können, implementiert ist.According to embodiments, the access management system is a database system. However, it is also possible for the access management system to be implemented in the firmware or software of the microcontroller, in whose memory the certificates and authorization chain objects and the program logic described here can be implemented.
Nach Ausführungsformen ist dem Überwachungssystem, das die Anfrage empfängt, ein erster Nutzer zugeordnet oder das Überwachungssystem selbst wird als erster (virtueller) Nutzer behandelt. Dem ersten Nutzer ist ein erstes Nutzer-Zertifikat zugeordnet. Das erste Nutzer-Zertifikat kann zum Beispiel ein Root-Zertifikat, das von einer Zertifizierungsstelle (certifying authority - CA) für eine bestimmte Organisation herausgegeben wird, sein, oder ein von dem Root-Zertifikat prüfbar abgeleitetes Zertifikat. Das erste Nutzer-Zertifikat ist in eine von einer Zertifizierungsstelle herausgegebene erste Zertifikatskette prüfbar eingeordnet (ist also beispielsweise bis zum Root-Zertifikat der Zertifizierungsstelle prüfbar). Dies kann vorteilhaft sein, da Zertifizierungsstellen als unabhängige Vertrauensgaranten auf breiter Basis bereits akzeptiert sind und bereits von vielen bestehenden technischen Systemen zur Prüfung der Authentizität bestimmter Nutzer und Nutzeraktionen verwendet werden.According to embodiments, a first user is assigned to the monitoring system that receives the request, or the monitoring system itself is treated as the first (virtual) user. A first user certificate is assigned to the first user. The first user certificate can, for example, be a root certificate that is issued by a certification authority (CA) for a specific organization, or a certificate that can be verifiably derived from the root certificate. The first user certificate is arranged in a testable manner in a first certificate chain issued by a certification authority (that is, for example, it can be tested up to the root certificate of the certification authority). This can be advantageous because certification bodies are already widely accepted as independent guarantors of trust and are already used by many existing technical systems to check the authenticity of certain users and user actions.
Nach Ausführungsformen wird das Eigner-Zertifikat für den ersten Nutzer, das dessen Eignerschaft der Nutzdaten-Datenbank zertifiziert, so erstellt, dass dieses in die erste Zertifikatskette eingeordnet ist und durch das erste Nutzer-Zertifikat prüfbar ist. Beispielsweise wird das Eigner-Zertifikat von dem Zugriffs-Verwaltungssystem durch den privaten Schlüssel des ersten Nutzer-Zertifikats signiert. In analoger Weise kann der erste Nutzer auch Kopien von Zugriffs-Zertifikaten, die anderen Nutzern (z.B. anderen Überwachungssystemen oder der Anfrageeinheit) Zugriff auf die von dem ersten Nutzer erstellte Datensätze einräumen, mit dem privaten Schlüssel seines Nutzer-Zertifikats (hier also des ersten Nutzer-Zertifikats) signieren.According to embodiments, the owner certificate for the first user, who certifies his ownership of the user data database, is created in such a way that it is classified in the first certificate chain and can be checked by the first user certificate. For example, the owner certificate is signed by the access management system using the private key of the first user certificate. In an analogous manner, the first user can also provide copies of access certificates that grant other users (e.g. other monitoring systems or the query unit) access to the data records created by the first user, with the private key of his user certificate (in this case the first user) Certificate).
Nach Ausführungsformen ist einem zweiten Nutzer (auch „Anfrage-Nutzer“ genannt, z.B. anderen Überwachungssystemen oder der Anfrageeinheit) ein zweites Nutzer-Zertifikat zugeordnet, wobei das zweite Nutzer-Zertifikat in eine von einer Zertifizierungsstelle herausgegebene zweite Zertifikatskette prüfbar eingeordnet ist.According to embodiments, a second user certificate is assigned to a second user (also called "query user", e.g. other monitoring systems or the query unit), the second user certificate being verifiable in a second certificate chain issued by a certification authority.
Nach Ausführungsformen umfasst das Verfahren eine Erstellung eines dritten Eigner-Zertifikats durch den zweiten Nutzer und Verknüpfung des dritten Eigner-Zertifikats mit einem dritten Nutzer, um diesem zu ermöglichen, Datensätze in der Nutzdaten-Datenbank anzulegen.According to embodiments, the method includes the creation of a third owner certificate by the second user and linking the third owner certificate to a third user in order to enable the third user to create data records in the user data database.
Gemäß Ausführungsformen werden auch Zugriffs-Zertifikate, wie bereits für die Eigner-Zertifikate beschrieben, als delegierbare oder als nicht-delegierbare Zugriffs-Zertifikate erstellt und anderen Nutzern zugewiesen. Auch die Zuweisung selbst, also die Zugriffsermächtigungskettenobjekte, können delegierbar oder nicht-delegierbar sein. So kann jeder Ersteller eines Datensatzes und jeder Inhaber eines delegierbaren Zugriffs-Zertifikats eines anderen Nutzers, der einen Datensatz erstellt hat, flexibel selbst entscheiden, ob und inwieweit er die Zugriffs-Verantwortung und damit zusammenhängende Pflichten und Tätigkeiten an andere Nutzer bzw. durch diese repräsentierte Überwachungssysteme überträgt. Dies kann vorteilhaft sein, da ein hoher Grad an Flexibilität und Komplexität der Zugriffsgewährung ermöglicht wird.According to embodiments, access certificates, as already described for the owner certificates, are created as delegable or non-delegable access certificates and assigned to other users. The assignment itself, i.e. the access authorization chain objects, can also be delegable or non-delegable. So every creator of a data record and every holder of a delegable access certificate of another user who has created a data record can flexibly decide for himself whether and to what extent he or she represents the access responsibility and related duties and activities to or through other users Surveillance systems transmits. This can be advantageous as it allows a high degree of flexibility and complexity in granting access.
Nach Ausführungsformen sind in einer ID-Datenbank eine Vielzahl von Nutzer-Zertifikaten, eine Vielzahl von Zugriffs-Zertifikaten und eine Vielzahl von Eigner-Zertifikaten gespeichert. Das Verfahren umfasst die Speicherung von Eignerschaftsermächtigungskettenobjekten und/oder Zugriffsermächtigungskettenobjekten in der ID-Datenbank.According to embodiments, a large number of user certificates, a large number of access certificates and a large number of owner certificates are stored in an ID database. The method includes storing ownership chain objects and / or access chain objects in the ID database.
Nach Ausführungsformen ist jedes Eignerschaftsermächtigungskettenobjekt ein Datenobjekt, welches eines der Eigner-Zertifikate und ein oder mehrere der Nutzer-Zertifikate beinhaltet (und dadurch einander zuweist). Die Reihung der Nutzer-Zertifikate in dem Eignerschaftsermächtigungskettenobjekt gibt die Sequenz der Nutzer, die dieses Eignerschafts-Zertifikat für jeweils andere Nutzer erstellt und diesen zugewiesen haben, wieder.According to embodiments, each ownership chain object is a data object that contains (and thereby assigns) one of the owner certificates and one or more of the user certificates. The ranking of the user certificates in the ownership authorization chain object reflects the sequence of users who have created and assigned this ownership certificate for other users in each case.
Jedes Zugriffsermächtigungskettenobjekt ist ein Datenobjekt, welches eines der Zugriffs-Zertifikate und ein oder mehrere der Nutzer-Zertifikate beinhaltet (und dadurch einander zuweist). Die Reihung der Nutzer-Zertifikate in dem Zugriffsermächtigungskettenobjekt gibt die Sequenz der Nutzer, die dieses Zugriffs-Zertifikat für jeweils andere Nutzer ausgestellt haben, wieder.Each access authorization chain object is a data object which contains one of the access certificates and one or more of the user certificates (and thereby assigns them to one another). The sequence of the user certificates in the access authorization chain object reflects the sequence of users who have issued this access certificate for other users in each case.
Nach Ausführungsformen sind die Nutzdaten-Datenbanken frei von Zugriffsermächtigungskettenobjekten und beinhalten für jeden Datensatz nur die Zugriffs-Zertifikate, die dem Nutzer, welcher diesen Datensetz erstellt hat, Zugriff auf diesen Datensatz gewähren.According to embodiments, the user data databases are free of access authorization chain objects and for each data record only contain the access certificates that grant the user who created this data set access to this data record.
Die Verknüpfung dieser Zugriffs-Rechte des Datensatzerstellers mit ein oder mehreren anderen Nutzern um diesen Zugriff auf den Datensatz zu gewähren ist nicht in der Nutzdaten-Datenbank gespeichert, sondern in der ID-Datenbank. Umgekehrt enthält die ID-Datenbank keine Referenz auf einzelne Datensätze der Nutzdaten-Datenbänke. Dies kann vorteilhaft sein, da die Größe und Komplexität der einzelnen Datensätze der Nutzdaten-Datenbank begrenzt und logisch von der Verwaltung der Zugriffsrechte weitgehend entkoppelt wird. Die Größe der Datensätze wird also auch dadurch begrenzt, dass nicht die komplette Kette der Berechtigungsübertragungen als Bestandteil der Datensätze gespeichert werden. Insbesondere bei einer Vielzahl kleiner Datensätze mit identischer Berechtigungsstruktur kann dies den von der Datenbank benötigten Speicherplatz erheblich reduzieren.The linking of these access rights of the data set creator with one or more other users in order to grant this access to the data set is not stored in the user data database, but in the ID database. Conversely, the ID database does not contain any reference to individual data records in the user data databases. This can be advantageous since the size and complexity of the individual data records in the user data database are limited and logically largely decoupled from the administration of the access rights. The size of the data records is also limited by the fact that the complete chain of authorization transfers is not saved as part of the data records. This can considerably reduce the storage space required by the database, especially when there are a large number of small data records with an identical authorization structure.
Nach Ausführungsformen führt die ID-Datenbank im Zuge der Erzeugung des Berechtigungstoken, der eines der Eigner-Zertifikate beinhaltet, eine Zertifikatskettenprüfung durch. Dies geschieht, um festzustellen, ob dieses Eigner-Zertifikat prüfbar in die Zertifikatskette des Nutzer-Zertifikats, dem dieses Eigner-Zertifikat in einem der Eignerschaftsermächtigungskettenobjekte zugewiesen ist, eingebunden ist. Die ID-Datenbank signiert den Berechtigungstoken nur im Falle der Feststellung einer erfolgreichen Einbindung in die Zertifikatskette des Eigner-Zertifikat. Diese Zertifikatskettenprüfung kann also insbesondere entlang der Zertifikatskette der Zertifizierungsstelle, die das Nutzer-Zertifikat als Root-Zertifikat für eine Organisation oder für eine funktional zusammenhängende Gruppe von Überwachungssystemen herausgegeben hat, erfolgen. Zusätzlich oder alternativ dazu führt die ID-Datenbank im Zuge der Erzeugung eines Berechtigungstoken, der ein oder mehrere Zugriffs-Zertifikate eines Nutzers zum Zugriff auf von ihm erstellte Datensätze beinhaltet, eine Zertifikatskettenprüfung durch, um für jedes der Zugriffs-Zertifikate des Nutzers festzustellen, ob dieses Zugriffs-Zertifikat prüfbar in die Zertifikatskette des Nutzer-Zertifikats, dem dieses Zugriffs-Zertifikat in einem der Zugriffsermächtigungskettenobjekten zugewiesen ist, eingebunden ist. Die ID-Datenbank signiert den Berechtigungstoken nur im Falle der Feststellung einer erfolgreichen Einbindung.According to embodiments, the ID database carries out a certificate chain check in the course of generating the authorization token which contains one of the owner certificates. This is done to determine whether this owner certificate can be checked in the certificate chain of the user certificate to which this owner certificate is in one of the Ownership chain objects is assigned. The ID database only signs the authorization token if it has been successfully integrated into the certificate chain of the owner certificate. This certificate chain check can therefore take place in particular along the certificate chain of the certification authority that issued the user certificate as the root certificate for an organization or for a functionally related group of monitoring systems. In addition or as an alternative to this, the ID database carries out a certificate chain check in the course of generating an authorization token which contains one or more access certificates of a user for access to data records created by him in order to determine whether for each of the access certificates of the user this access certificate can be checked in the certificate chain of the user certificate to which this access certificate is assigned in one of the access authorization chain objects. The ID database only signs the authorization token if it has been successfully integrated.
Nach Ausführungsformen legt der zweite Nutzer (z.B. die Anfrageeinheit oder ein anderes externes Überwachungssystem), der einen bestimmten Datensatz in der Nutzdaten-Datenbank des Überwachungssystems erstellt hat, oder ein dritter Nutzer, dem über ein Zugriffsermächtigungskettenobjekt ein oder mehrere Zugriffszertifikate des zweiten Datenbank-Nutzers zugewiesen sind, ein weiteres Zugriffsberechtigungskettenobjekt an. In diesem weiteren Zugriffsberechtigungskettenobjekt werden ein oder mehrere Zugriffs-Zertifikate des Erstellers (also des zweiten Nutzers) dem vierten Nutzer zugewiesen. Die Nutzdaten-Datenbank ist dazu konfiguriert, vor der Gewährung des Zugriffs auf den von dem zweiten Nutzer erzeugten Datensatz durch den vierten Nutzer zu prüfen, ob dem vierte Nutzer ein oder mehrere dieser Zugriffs-Zertifikate zugewiesen sind. Die Prüfung erfolgt z.B. dann, wenn das von dem vierten Nutzer repräsentierte weitere Überwachungssystem eine Zugriffsanfrage sendet.According to embodiments, the second user (e.g. the query unit or another external monitoring system) who has created a certain data record in the user data database of the monitoring system, or a third user who is assigned one or more access certificates of the second database user via an access authorization chain object are another access authorization chain object. In this further access authorization chain object, one or more access certificates of the creator (that is, of the second user) are assigned to the fourth user. The user data database is configured to check, before the fourth user grants access to the data record generated by the second user, whether the fourth user has been assigned one or more of these access certificates. The check takes place, for example, when the further monitoring system represented by the fourth user sends an access request.
Nach einer Ausführungsform ist jedem der Datensätze in der Nutzdaten-Datenbank ein oder mehrere Zugriffs-Zertifikate des den Datensatz erstellenden Nutzers zugeordnet.According to one embodiment, one or more access certificates of the user creating the data record is assigned to each of the data records in the user data database.
Nach Ausführungsformen sind in der Nutzdaten-Datenbank die Datensätze in einem Format gespeichert, welches eine Extraktion der in den Datensätzen enthaltenen Information ohne einen Zugriff über eine Datenbankverbindung zu der Nutzdaten-Datenbank ausschließt. Beispielsweise können die Datensätze als binäre Objekte oder in verschlüsselter Form gespeichert sein. Backups der Nutzdaten-Datenbank können durch Kopieren der Nutzdaten-Datenbank auf ein anderes Speichermedium erstellt werden, wobei der Nutzer, der diese Backups anlegt, kein Eigner-Zertifikat für diese Nutzdaten-Datenbank besitzt oder besitzen muss. Bespiesweise kann die Backup Erstellung durch eine Vielzahl von Überwachungssystemen durch einen Administrator-Nutzer durch eine Backup-Anfrage veranlasst werden. Der Administrator-Nutzer kann eine Person sein oder ein Super-Überwachungssystem, das neben seiner Funktion der Überwachung des an dieses gekoppelten Überwachungsobjekts auch noch verschiedene koordinierende und/oder administrative Aufgaben bezüglich mehrerer weiterer, untergeordneter Überwachungssysteme wahrnimmt.According to embodiments, the data records are stored in the user data database in a format which excludes extraction of the information contained in the data records without access to the user data database via a database connection. For example, the data records can be stored as binary objects or in encrypted form. Backups of the user data database can be created by copying the user data database to another storage medium, whereby the user who creates these backups does not have or does not have to have an owner certificate for this user data database. For example, the backup creation can be initiated by a large number of monitoring systems by an administrator user through a backup request. The administrator user can be a person or a super-monitoring system which, in addition to its function of monitoring the monitoring object coupled to it, also performs various coordinating and / or administrative tasks with regard to several other, subordinate monitoring systems.
Dies kann vorteilhaft sein, da ein Administrator-Nutzer zwar noch die ihm typischerweise zugeordneten Tätigkeiten wie zum Beispiel das Erstellen von Backups durchführen kann, jedoch nicht mehr auf den Inhalt der in der Datenbank gespeicherten Nutzdaten zugreifen kann. Dies schützt die Organisation durch missbräuchliche Weitergabe sensibler Zustandsdaten der Überwachungsobjekte an Dritte durch den Administrator-Nutzer, etwa im Kontext Industriespionage. Der Administrator-Nutzer des Zugriffs-Verwaltungssystems bzw. des Überwachungssystems hat nach Ausführungsformen der Erfindung also deutlich weniger Zugriffsrechte als dies in herkömmlichen IT-Systemen der Fall ist.This can be advantageous because an administrator user can still carry out the activities typically assigned to him, such as creating backups, but can no longer access the content of the user data stored in the database. This protects the organization by improperly passing on sensitive status data of the surveillance objects to third parties by the administrator user, for example in the context of industrial espionage. According to embodiments of the invention, the administrator user of the access management system or the monitoring system therefore has significantly fewer access rights than is the case in conventional IT systems.
Nach Ausführungsformen repräsentiert jeder oder zumindest einige der Datensätze in der Nutzdaten-Datenbank jeweils eine software- oder Hardware Funktionalität, die das Überwachungssystem bereitstellt und/oder steuert. Nur ein Nutzer (z.B. Anfrageeinheit oder sonstiges externes Überwachungssystem), dem sowohl ein Eigner-Zertifikat der Nutzdaten-Datenbank als auch ein Zugriffs-Zertifikat für den Zugriff auf das Funktionsobjekt zugewiesen ist, wird von dem Zugriffs-Verwaltungssystem des Überwachungssystems, das die Anfrage empfängt, gestattet, die Funktionalität durchzuführen bzw. die Ausführung der Funktion zu veranlassen. Bei der Funktion kann es sich beispielsweise um das Starten eines Geräts, die Aktivierung oder Bewegung einer Hardwarekomponente, das Öffnen oder Schließen einer Tür für Gebäude, Räume oder Fahrzeuge, das Öffnen oder Schließen sonstiger Zutrittsbarrieren oder Verschlussvorrichtungen von Behältnissen oder um eine bestimmte Software Funktionalität handeln.According to embodiments, each or at least some of the data records in the user data database each represent a software or hardware functionality that the monitoring system provides and / or controls. Only one user (e.g. request unit or other external monitoring system), who has been assigned both an owner certificate for the user data database and an access certificate for access to the functional object, will receive the request from the access management system of the monitoring system , allows to carry out the functionality or to cause the function to be carried out. The function can be, for example, starting a device, activating or moving a hardware component, opening or closing a door for buildings, rooms or vehicles, opening or closing other access barriers or locking devices for containers or a specific software functionality .
Somit kann die oben beschriebene vorteilhafte, flexible und feingranulare Zugriffskontrolle nicht nur für die Kontrolle des Zugriffs auf Datensätze, sondern auch für die Kontrolle des Zugriffs auf eine Vielzahl anderer Funktionen einschließlich Hardwarefunktionalitäten verwendet werden.Thus, the advantageous, flexible and fine-grained access control described above can be used not only for controlling access to data sets, but also for controlling access to a large number of other functions, including hardware functionalities.
In einem weiteren Aspekt betrifft die Erfindung ein verteiltes System. Das verteilte System umfasst mehrere Überwachungssysteme nach einer der hier beschriebenen Ausführungsformen.In another aspect, the invention relates to a distributed system. The distributed system comprises several monitoring systems according to one of the embodiments described here.
Nach Ausführungsformen ist jedes der Überwachungssysteme des verteilten Systems jeweils an ein anderes Überwachungsobjekt gekoppelt. Jedes der Überwachungssysteme ist dazu ausgebildet, als die Anfrageeinheit zu fungieren und eine Anfrage an eines der anderen Überwachungssysteme zu senden, wie dies z.B. für Ausführungsformen der Erfindung hier beschrieben ist. Jedes der Überwachungssysteme ist dazu ausgebildet, eine Anfrage eines der anderen Überwachungssysteme zu empfangen und diese so zu prüfen wie die Anfrage der Anfrageeinheit.According to embodiments, each of the monitoring systems of the distributed system is in each case coupled to a different monitoring object. Each of the monitoring systems is designed to function as the query unit and to send a query to one of the other monitoring systems, as is described here, for example, for embodiments of the invention. Each of the monitoring systems is designed to receive a request from one of the other monitoring systems and to check this in the same way as the request from the requesting unit.
Beispielsweise können die mehreren Überwachungssysteme des verteilten Systems jeweils operativ an Überwachungsobjekte gekoppelt sein, die Komponenten eines komplexen, mehrkomponentigen physischen Objekts sind.For example, the multiple monitoring systems of the distributed system can each be operatively coupled to monitoring objects that are components of a complex, multi-component physical object.
Beispielsweise könnte das komplexe Objekt ein Gebäude, ein Fahrzeug, ein Flugzeug, eine militärische Anlage, eine industrielle Anlage, ein Kraftwerk oder Krankenhaus sein. Die einzelnen Überwachungssysteme und die an diese gekoppelten Überwachungsobjekte bilden jeweils semi-autonom überwachte Systeme. Das heißt, dass die Überwachung der jeweiligen Überwachungsobjekte weitgehend von dem jeweils gekoppelten Überwachungssystem alleine vorgenommen wird, ohne die Zuhilfenahme anderer Überwachungssysteme oder zentraler Steuerungssysteme. Durch den Austausch von Anfragen und den damit bewirkten Austausch von z.B. Messwerten, von aus den Messwerten abgeleiteten Daten und/oder Steuersignalen, kann die Funktionalität des verteilten Systems wie auch die der einzelnen Überwachungssysteme in Ausführungsformen der Erfindung deutlich verbessert werden. Beispielsweise kann ein Überwachungssystem, das technische Probleme in „seinem“ Überwachungsobjekt erkannt hat, diese Beobachtung anderen Überwachungssystemen durch entsprechende Anfragen mitteilen. Dies versetzt die anderen Überwachungssysteme in die Lage, schnell die richtigen Steuersignale an die „eigenen“ Überwachungsobjekte zu senden, um sicherzustellen, dass das komplexe Objekt weiterhin korrekt arbeitet. Falls beispielsweise ein bestimmtes Überwachungssystem erkennt, dass in „seinem“ Überwachungsobjekt, einem Benzintank, die Tankfüllung bald zur Neige geht, kann es dieses Wissen an ein Überwachungssystem übermitteln, welches für energieverbrauchende aber für die Fortbewegung nicht essentielle Fahrzeugkomponenten verantwortlich ist, z.B. eine Klimaanlage. Die Anfrage kann z.B. ein Steuersignal haben, die Leistung der Klimaanlage zu reduzieren um Kraftstoff zu sparen. Derartige Systeme können den Vorteil haben, dass eine zentrale Steuerung sämtlicher Komponenten bzw. sämtlicher Überwachungssysteme nicht mehr erforderlich ist. Dies erhöht auch die Sicherheit und Robustheit der Überwachung, denn es gibt keine zentrale Überwachungsinstanz mehr, deren Beschädigung zu einem Ausfall des gesamten komplexen Objekts und aller Steuersysteme führen würde.For example, the complex object could be a building, a vehicle, an airplane, a military installation, an industrial installation, a power plant or a hospital. The individual monitoring systems and the monitoring objects coupled to them each form semi-autonomously monitored systems. This means that the monitoring of the respective monitoring objects is carried out largely by the respectively coupled monitoring system alone, without the aid of other monitoring systems or central control systems. By exchanging inquiries and the resulting exchange of e.g. measured values, of data and / or control signals derived from the measured values, the functionality of the distributed system as well as that of the individual monitoring systems can be significantly improved in embodiments of the invention. For example, a monitoring system that has recognized technical problems in “its” monitoring object can communicate this observation to other monitoring systems by means of corresponding inquiries. This enables the other monitoring systems to quickly send the correct control signals to their "own" monitoring objects in order to ensure that the complex object continues to work correctly. If, for example, a certain monitoring system detects that "its" monitoring object, a petrol tank, is about to run out of fuel, it can transfer this knowledge to a monitoring system that is responsible for vehicle components that consume energy but are not essential for locomotion, e.g. an air conditioning system. The request can e.g. have a control signal to reduce the power of the air conditioning system in order to save fuel. Such systems can have the advantage that central control of all components or all monitoring systems is no longer necessary. This also increases the security and robustness of the monitoring, because there is no longer a central monitoring instance whose damage would lead to the failure of the entire complex object and all control systems.
Nach Ausführungsformen dienen die Anfragen dem Austausch von Messwerten, von den Messwerten abgeleiteten Daten (z.B. trainierte ML-Modelle) und/oder Steuersignalen zwischen den Überwachungssystemen. Die Messwerte sind Datenwerte, die von den Sensoren erfasst wurden und die zustandsbezogene Informationen der Überwachungsobjekte beinhalten. Die Steuersignale sind Datenwerte, die dazu ausgebildet sind, die Steuereinheit des die Steuersignale empfangenen Überwachungssystem zu veranlassen, das an dieses Überwachungssystem operativ gekoppelte Überwachungsobjekt gemäß den Steuersignalen zu steuern.According to embodiments, the requests serve to exchange measured values, data derived from the measured values (e.g. trained ML models) and / or control signals between the monitoring systems. The measured values are data values which were recorded by the sensors and which contain status-related information of the monitored objects. The control signals are data values which are designed to cause the control unit of the monitoring system that has received the control signals to control the monitoring object which is operatively coupled to this monitoring system in accordance with the control signals.
Nach Ausführungsformen beinhaltet jedes der Überwachungssysteme ein Vorhersageprogramm. Jedes der Vorhersageprogramme beinhaltet ein zur Berechnung des gleichen Vorhersagetyps trainiertes Machine-Learning (ML)-Modell. Ein Vorhersagetyp kann z.B. ein bestimmtes Vorhersageproblem sein, z.B. die Berechnung des voraussichtlichen Zeitpunkts, an welchem ein Bauteil wegen Materialermüdung ausgetauscht werden muss. Die trainierten Modelle der Vorhersageprogramme sind unterschiedlich. Jedes der ML-Modelle beinhaltet Paare einander zugeordneter Eingaben und Ausgaben. Beispielsweise kann jedes dieser ML-Modelle diese Eingabe-Ausgabe-Zuordnung anhand von Trainingsdaten gelernt haben, die vom Sensor des jeweiligen Überwachungssystem erfasst und lokal gespeichert wurden, wobei die Trainingsdaten Statusdaten des jeweils überwachten Überwachungsobjekts beinhalten.According to embodiments, each of the monitoring systems includes a prediction program. Each of the prediction programs contains a machine learning (ML) model trained to calculate the same type of prediction. A type of forecast can be, for example, a certain forecast problem, e.g. the calculation of the probable point in time at which a component has to be replaced due to material fatigue. The trained models of the prediction programs are different. Each of the ML models includes pairs of associated inputs and outputs. For example, each of these ML models can have learned this input-output assignment on the basis of training data that was recorded by the sensor of the respective monitoring system and stored locally, the training data containing status data of the respective monitored object.
Jedes der Überwachungssysteme ist konfiguriert zum:
- - Synchronisieren der Eingabe-Ausgabe Paare der Modelle derart, dass jedes Modell nach der Synchronisation den gleichen Satz an Eingabe-Ausgabe Paaren beinhaltet;
- - Eingeben von Eingabedaten in eines der Vorhersageprogramme;
- - Berechnen einer Vorhersage auf Basis der Eingabedaten durch das eine Vorhersageprogramm unter Verwendung des synchronisierten Modells dieses einen Vorhersageprogrammes; und
- - Verwendung der Vorhersage durch die Steuereinheit desjenigen Überwachungssystems, welches das eine Vorhersageprogramm beinhaltet, um den Zustand des an dieses Überwachungssystem operativ gekoppelten Überwachungsobjekts automatisch in Abhängigkeit von der Vorhersage zu verändern. Zusätzlich oder alternativ dazu kann das Überwachungssystem die Vorhersage an die Anfrageeinheit zurückgeben. Beispielsweise kann die Anfrageeinheit die Durchführung der Vorhersage mittels der Anfrage veranlasst haben und die Vorhersage wird in Antwort auf die Anfrage zurückgegeben.
- - Synchronizing the input-output pairs of the models in such a way that each model after the synchronization contains the same set of input-output pairs;
- Inputting input data into one of the prediction programs;
- - Calculation of a prediction on the basis of the input data by the one prediction program using the synchronized model of this one prediction program; and
- Use of the prediction by the control unit of that monitoring system which contains the one prediction program in order to automatically change the state of the monitoring object which is operatively linked to this monitoring system as a function of the prediction. Additionally or alternatively, the monitoring system can return the prediction to the query unit. For example, the query unit can have caused the prediction to be carried out by means of the query, and the prediction is returned in response to the query.
In einem weiteren Aspekt betrifft die Erfindung ein System umfassend das Überwachungssystem nach einer der hier beschriebenen Ausführungsformen sowie ein operativ an dieses Überwachungssystem gekoppeltes Überwachungsobjekt.In a further aspect, the invention relates to a system comprising the monitoring system according to one of the embodiments described here and a monitoring object which is operatively coupled to this monitoring system.
In einem weiteren Aspekt betrifft die Erfindung ein Verfahren zur Überwachung eines Überwachungsobjekts. Das Verfahren umfasst:
- - operative Kopplung eines Überwachungssystems an das Überwachungsobjekt, wobei das Überwachungssystem ein mikrocontroller-basiertes oder mikroprozessor-basiertes Datenverarbeitungssystem ist. Das Überwachungssystem umfasst zumindest einen Prozessor, eine Netzwerkschnittstelle, und zumindest einen Sensor, der dazu ausgebildet ist, bei bestehender operativer Kopplung an das Überwachungsobjekt einen aktuellen Zustand des Überwachungsobjektes zu erfassen. Zusätzlich oder alternativ zu dem zumindest einen Sensor umfasst das Überwachungssystem eine Steuereinheit, die dazu ausgebildet ist, bei bestehender operativer Kopplung an das Überwachungsobjekt den Zustand des Überwachungsobjektes durch Senden eines Steuerbefehls an das Überwachungsobjekt zu verändern;
- - Empfang einer Anfrage über die Netzwerkschnittstelle von einer Anfrageeinheit durch das Überwachungssystem;
- - Durchführung einer ersten Prüfung der Anfrage durch das Überwachungssystem;
- - Falls die erste Prüfung ergibt, dass die Anfrage nicht vertrauenswürdig ist, Abbruch der ersten Prüfung durch das Überwachungssystem, ohne eine Antwort irgendeiner Form an die Anfrageeinheit zurückzugeben;
- - nur falls die erste Prüfung ergibt, dass die Anfrageeinheit vertrauenswürdig ist, Durchführen einer weiteren Prüfung der Anfrage durch den Prozessor des Überwachungssystems;
- - nur falls die weitere Prüfung der Anfrage ergibt, dass die Anfrageeinheit hinreichend berechtigt ist, Ermöglichung der Übertragung von Zustandsdaten des Überwachungsobjekts, die von dem zumindest einen Sensor erfasst wurden, an die Anfrageeinheit durch das Überwachungssystem und/oder Ändern des Zustands des Überwachungsobjekts mittels der Steuerungseinheit gemäß der Anfrage durch das Überwachungssystem.
- operational coupling of a monitoring system to the monitoring object, the monitoring system being a microcontroller-based or microprocessor-based data processing system. The monitoring system comprises at least one processor, a network interface, and at least one sensor which is designed to detect a current state of the monitoring object when there is an operational coupling to the monitoring object. In addition or as an alternative to the at least one sensor, the monitoring system comprises a control unit which is designed to change the state of the monitoring object by sending a control command to the monitoring object when there is an operational coupling to the monitoring object;
- - Receipt of a request via the network interface from a request unit by the monitoring system;
- - Carrying out a first examination of the request by the monitoring system;
- If the first test shows that the request is not trustworthy, the first test is aborted by the monitoring system without returning a response of any form to the request unit;
- - only if the first check shows that the query unit is trustworthy, carrying out a further check of the query by the processor of the monitoring system;
- - only if the further examination of the request shows that the request unit is sufficiently authorized, enabling the transmission of status data of the monitoring object, which was recorded by the at least one sensor, to the request unit by the monitoring system and / or changing the status of the monitoring object by means of the Control unit as requested by the monitoring system.
Dies kann vorteilhaft sein, da Ausführungsformen ein Überwachungssystem bereitstellen, welches Anfragen über ein Netzwerk, z.B. das Internet, empfangen kann, und und somit für komplexe Anwendungen im IoT-Kontext verwendet werden kann. Gleichzeitig kann das Überwachungssystem trotz ggf. schwacher Leistung der vorhandenen Mikroprozessoren DoS Angriffe wirksam abwehren. Beispielsweise kann es die mehrstufige Prüfung, das völlige Ausbleiben einer Antwort und ggf. ein Verbindungsabbruch sowie ggf. zusätzlich eine Verhinderung eines erneuten Verbindungsaufbaus zur Anfrageeinheit für eine vordefinierte Mindestzeit im Falle eines negativen Ergebnisses der ersten Prüfung dafür sorgen, dass Angreifer das Überwachungssystem weder lahmlegen noch weitere Informationen über das Überwachungssystem in Erfahrung bringen können.This can be advantageous since embodiments provide a monitoring system which can receive requests over a network, e.g. the Internet, and thus can be used for complex applications in the IoT context. At the same time, the monitoring system can effectively fend off DoS attacks despite possibly poor performance of the existing microprocessors. For example, the multi-stage check, the complete absence of a response and, if necessary, a connection break and, if necessary, also the prevention of a renewed connection to the request unit for a predefined minimum time in the event of a negative result of the first check ensure that attackers neither paralyze nor paralyze the monitoring system find out more information about the surveillance system.
Nach Ausführungsformen wird das Verfahren für eine gegenüber Denial-of-Service Angriffen robuste, d.h., geschützte, Überwachung des Überwachungsobjekts verwendet.According to embodiments, the method is used for a monitoring of the monitoring object that is robust, i.e. protected, against denial-of-service attacks.
Unter einer „Überwachung“ wird hier das Erfassen und Speichern von Zuständen eines Überwachungsobjekts und/oder die Steuerung von Zuständen dieses Objekts verstanden.“Monitoring” is understood here to mean the acquisition and storage of states of a monitored object and / or the control of states of this object.
Unter einem „Datenverarbeitungssystem“ wird hier ein elektronisches System verstanden, das dazu ausgebildet ist, Datenmengen mit dem Ziel zu verarbeiten, Informationen über diese Datenmengen zu gewinnen oder diese Datenmengen zu verändern. Insbesondere kann es sich bei dem Datenverarbeitungssystem um einen auf einem oder mehreren integrierten Schaltkreisen mit einem oder mehreren Mikroprozessoren oder einem mikrocontroller-basierten digitalen Computer handeln, insbesondere um ein „eingebettetes System“.A “data processing system” is understood here to mean an electronic system which is designed to process amounts of data with the aim of obtaining information about these amounts of data or to change these amounts of data. In particular, the data processing system can be one on one or more integrated circuits with one or more microprocessors or a microcontroller-based digital computer, in particular an “embedded system”.
Unter einem „Kettenobjekt“ wird hier eine Datenstruktur verstanden, welches mehrere Elemente enthält, die in der Datenstruktur in einer bestimmten Sequenz („Kette“) angeordnet und dadurch dem oder den jeweiligen Nachbarelementen zugeordnet sind. Die Zuordnung kann rein in der Positionierung der Elemente innerhalb der Sequenz als benachbarte Elemente begründet sein. In manchen Ausführungsformen bestehen einige oder alle der Elemente aus Zertifikaten, wobei die Zertifikate innerhalb der Sequenz einander nicht nur auf Basis ihrer Position sondern auch dadurch zugeordnet sind, dass die Zertifikate eine Zertifikatskette bilden, die durch eine sogenannte Zertifikatskettenprüfung entlang der Zertifikatssequenz prüfbar sind. Die Sequenz der Elemente wird vorzugsweise durch einen Nutzer, z.B. einen menschlichen Nutzer oder eine Software, eine Anfrageeinheit, ein Überwachungssystem, eine Hardware oder einen Software- oder Hardwarebasierten Prozess, der als „Nutzer“ fungiert, festgelegt. Beispielsweise können Kettenobjekte ein erstes Element beinhalten, das ein Recht repräsentiert, z.B. ein Zugriffsrecht (das erste Element kann dann z.B. ein Zugriffs-Zertifikat sein) oder ein Eigner-Recht (das erste Element kann dann z.B. ein Eignerschafts-Zertifikat sein). Das Kettenobjekt kann zudem eine Sequenz weiterer Elemente beinhalten, z.B. Elemente, die je einen Nutzer repräsentieren (wobei diese weiteren Elemente z.B. als Nutzer-Zertifikate ausgebildet sein können, z.B. als X.509 Zertifikate). Die Sequenz der Nutzer-Zertifikate in dem Kettenobjekt repräsentiert die Sequenz der Nutzer, die jeweils das im ersten Element repräsentierte Recht, das ihnen gehört, auf einen anderen Nutzer übertragen haben. Beispielsweise ist ein „Zugriffsermächtigungskettenobjekt“ ein Kettenobjekt, dass ein Zugriffsrecht und eine Sequenz an Nutzern repräsentiert, welche dieses Zugriffsrecht auf jeweils einen der anderen Nutzer gemäß dieser Sequenz übertragen haben. Beispielsweise ist ein „Eignerschaftsermächtigungskettenobjekte“ ein Kettenobjekt, dass ein Eignerrecht und eine Sequenz an Nutzern repräsentiert, welche dieses Eignerrecht auf jeweils einen der anderen Nutzer gemäß dieser Sequenz übertragen haben.A “chain object” is understood here to mean a data structure which contains several elements that are arranged in the data structure in a specific sequence (“chain”) and are thereby assigned to the respective neighboring element or elements. The assignment can be based purely on the positioning of the elements within the sequence as neighboring elements. In some embodiments, some or all of the elements consist of certificates, the certificates within the sequence not only being assigned to one another on the basis of their position but also by the fact that the certificates form a certificate chain that is established by a so-called certificate chain check along the Certificate sequence can be checked. The sequence of the elements is preferably determined by a user, for example a human user or software, a query unit, a monitoring system, hardware or a software or hardware-based process that functions as a “user”. For example, chain objects can contain a first element that represents a right, for example an access right (the first element can then be, for example, an access certificate) or an owner right (the first element can then be, for example, an ownership certificate). The chain object can also contain a sequence of further elements, for example elements that each represent a user (these further elements, for example, can be designed as user certificates, for example as X.509 certificates). The sequence of user certificates in the chain object represents the sequence of users who have each transferred the right represented in the first element that belongs to them to another user. For example, an “access authorization chain object” is a chain object that represents an access right and a sequence of users who have transferred this access right to one of the other users in accordance with this sequence. For example, an “ownership authorization chain object” is a chain object that represents an owner right and a sequence of users who have transferred this owner right to one of the other users in accordance with this sequence.
Unter einer „Anfrageeinheit“ wird hier ein physisches Objekt, z.B. ein Datenverarbeitungssystem oder eine Software verstanden, die dazu konfiguriert ist, eine Anfrage über ein Netzwerk an ein Überwachungssystem zu senden. Die Anfrage kann z.B. den Zweck haben, das Überwachungssystem zur Durchführung einer bestimmten softwarebasierten oder hardwarebasierten Funktionalität zu veranlassen, z.B. erfasste und protokollierte Zustandsdaten des Überwachungsobjekts an die Anfrageeinheit zu senden, der Anfrageeinheit Zugriff auf entsprechende Datensätze zu gewähren oder in Reaktion auf die Anfrage die Steuereinheit dazu zu veranlassen, einen Steuerbefehl an das Überwachungsobjekt zu senden um dessen Zustand zu verändern. Bei der Anfrageeinheit kann es sich z.B. um einen Standard-Computer oder ein anderes mikrocontrollerbasiertes oder mikroprozessorbasiertes Überwachungssystem handeln. Bei letzterem kann es sich um ein Überwachungssystem gemäß Ausführungsformen der Erfindung handeln, welches seinerseits Anfragen von anderen als Anfrageeinheit fungierenden Überwachungssystemen empfangen und wie beschrieben verarbeiten kann. Ausführungsformen der Erfindung können den Vorteil haben, dass ein Netzwerk aus Überwachungssystemen bereitgestellt wird, die ein Netzwerk aus IoT-Endknoten bilden, wobei jeder Endknoten dynamisch als Anfrageeinheit und Empfänger für die Anfragen anderer Überwachungssysteme auftreten kann und in Abhängigkeit vom Inhalt und den Prüfergebnissen der Anfrage dann das jeweils zugeordnete Überwachungsobjekt überwacht, also Zustandsdaten freigibt oder den Zustand aktiv verändert. Beispielweise kann das Netzwerk dazu dienen, lokal von den Überwachungssystemen erfasste Messwerte auszutauschen und/oder auf Basis dieser Messwerte im Zuge eines lokalen Trainingsprozesses erhaltene ML-Modelle zwischen den Überwachungssystemen zu synchronisieren.A “query unit” is understood here to mean a physical object, e.g. a data processing system or software, which is configured to send a query to a monitoring system via a network. The request can, for example, have the purpose of causing the monitoring system to carry out a certain software-based or hardware-based functionality, e.g. to send recorded and logged status data of the monitoring object to the request unit, to grant the request unit access to corresponding data records or the control unit in response to the request to cause a control command to be sent to the monitored object in order to change its state. The query unit can be, for example, a standard computer or another microcontroller-based or microprocessor-based monitoring system. The latter can be a monitoring system according to embodiments of the invention, which in turn can receive queries from other monitoring systems functioning as query units and process them as described. Embodiments of the invention can have the advantage that a network of monitoring systems is provided, which form a network of IoT end nodes, each end node being able to act dynamically as a request unit and receiver for requests from other monitoring systems and depending on the content and the test results of the request then monitors the respectively assigned monitoring object, i.e. releases status data or actively changes the status. For example, the network can serve to exchange measured values recorded locally by the monitoring systems and / or to synchronize ML models obtained between the monitoring systems on the basis of these measured values in the course of a local training process.
Unter einem „Berechtigungsnachweis“ wird hier ein Datenwert, insbesondere ein numerischer Datenwert verstanden, welcher die Funktion hat, den Überbringer dieses Datenwerts gegenüber dem Empfänger als vertrauenswürdig auszuweisen. Dies kann beinhalten, dass der Überbringer dieses Datenwerts als berechtigt ausgewiesen wird, das den Berechtigungsnachweis empfangende Überwachungssystem dazu zu veranlassen, eine bestimmte Funktion oder einen bestimmten Prozess (z.B. weiteren Prüfschritt) durchzuführen. Vorzugsweise handelt es sich um einen numerischen Wert hinreichender Länge und Komplexität, sodass dieser nicht einfach mit Hilfe eines Zufallsgeneratoren in wenigen Anfragezyklen erraten werden kann. Beispielsweise kann der numerische Wert mindestens 5, vorzugsweise mindestens 8 Ziffern beinhalten.A “proof of authorization” is understood here to mean a data value, in particular a numerical data value, which has the function of identifying the bearer of this data value as trustworthy to the recipient. This can include that the bearer of this data value is identified as authorized to cause the monitoring system receiving the authorization to carry out a certain function or a certain process (e.g. further test step). It is preferably a numerical value of sufficient length and complexity so that it cannot simply be guessed with the aid of a random generator in a few query cycles. For example, the numerical value can contain at least 5, preferably at least 8 digits.
Gemäß Ausführungsformen blockiert das Überwachungssystem nach Erhalt einer Mindestanzahl von Anfragen der gleichen Anfrageeinheit, die alle keinen gültigen Berechtigungsnachweis enthalten, diese Anfrageeinheit dauerhaft oder für eine gewisse Mindestdauer, z.B. einige Minuten, einige Stunden oder einige Tage. Die Mindestanzahl kann „1“ sein oder ein höherer Wert. Ausführungsformen können den Vorteil haben, dass hierdurch einem zufälligen Erraten des Berechtigungsnachweises z.B. mittels Zufallsgeneratoren wirksam vorgebeugt werden kann.According to embodiments, after receiving a minimum number of queries from the same query unit, all of which do not contain a valid credential, the monitoring system blocks this query unit permanently or for a certain minimum duration, e.g. a few minutes, a few hours or a few days. The minimum number can be "1" or a higher value. Embodiments can have the advantage that in this way accidental guessing of the credentials, e.g. by means of random generators, can be effectively prevented.
Unter einem „Referenzberechtigungsnachweis“ wird hier ein Datenwert, insbesondere ein numerischer Datenwert, verstanden, der bei einem Überwachungssystem hinterlegt ist und der einen Überbringer eines zu diesem Referenzberechtigungsnachweis identischen Datenwerts (z.B. eine Anfrageeinheit) als berechtigt legitimiert, seitens des den Berechtigungsnachweis empfangenen Überwachungssystems die Durchführung einer bestimmten Funktion oder eines bestimmten Prozesses (z.B. weiteren Prüfschritt) zu veranlassen. Beispielsweise können Referenzberechtigungsnachweise die Summe aller Zugriffs-Zertifikate sein, die im Zuge der Registrierung verschiedener Nutzer (z.B. Überwachungssysteme) bei dem Empfänger-Überwachungssystem gespeichert wurden. Die Referenzberechtigungsnachweise können zusätzlich die Zugriffs-Zertifikate beinhalten, die zu einem späteren Zeitpunkt diesen registrierten Nutzern zugewiesen wurden und im Empfänger-Überwachungssystem gespeichert wurden.A “reference authorization” is understood here to mean a data value, in particular a numerical data value, which is stored in a monitoring system and which legitimizes the carrying out of a data value identical to this reference authorization (e.g. an inquiry unit) as authorized by the monitoring system that has received the authorization to initiate a certain function or a certain process (e.g. further test step). For example, reference credentials can be the sum of all access certificates that were saved in the course of the registration of various users (eg monitoring systems) in the recipient monitoring system. The reference credentials can also contain the access certificates that lead to a later assigned to these registered users and saved in the recipient monitoring system.
Unter einem „Mikroprozessor“ (auch µProzessor) wird hier ein Prozessor (typischerweise in sehr kleinem Maßstab) verstanden, bei dem alle Bausteine des Prozessors auf einem Mikrochip (integrierter Schaltkreis, IC) vereinigt sind. Nach Ausführungsformen beinhaltet der Chip neben dem Mikroprozessor auch zusätzliche Peripheriekomponenten. Ein solcher Chip mit einem oder mehreren Mikroprozessoren und ein oder mehreren Peripheriekomponenten (wie z.B. Sensoren und/oder Steuereinheiten für chip-interne oder chip-externe Funktionen und Systeme) wird als Mikrocontroller, auch „System-on-a-Chip (SoC)“, bezeichnet.A “microprocessor” (also called a microprocessor) is understood here as a processor (typically on a very small scale) in which all the components of the processor are combined on a microchip (integrated circuit, IC). According to embodiments, the chip also contains additional peripheral components in addition to the microprocessor. Such a chip with one or more microprocessors and one or more peripheral components (such as sensors and / or control units for chip-internal or chip-external functions and systems) is called a microcontroller, also known as "System-on-a-Chip (SoC)" , designated.
Unter einem „Mikrocontroller“ (auch µController, µC, MCU) werden hier Halbleiterchips bezeichnet, die zumindest einen Prozessor und zugleich auch Peripheriefunktionen enthalten. Der zumindest eine Prozessor kann als Mikroprozessor ausgebildet sein. Zu diesen Peripheriefunktionen können z. B. CAN- (Controller Area Network), LIN- (Local Interconnect Network), USB- (Universal Serial Bus), I2C- (Inter-Integrated Circuit), SPI- (Serial Peripheral Interface), serielle oder Ethernet-Schnittstellen, PWM-Ausgänge, LCD-Controller und -Treiber sowie Analog-DigitalUmsetzer gehören. Einige Mikrocontroller verfügen auch über programmierbare digitale und/oder analoge bzw. hybride Funktionsblöcke. In vielen Fällen befindet sich auch der Arbeits- und Programmspeicher teilweise oder komplett auf demselben Chip. Ein Mikrocontroller ist ein Ein-Chip-Computersystem. Für manche Mikrocontroller wird auch der Begriff System-on-a-Chip oder SoC verwendet. Mikrocontroller sind in Leistung und Ausstattung gemäß Ausführungsformen auf die jeweilige Anwendung angepasst. Daher haben sie gegenüber „normalen“ Computern Vorteile bei den Kosten und der Leistungsaufnahme. Kleine Mikrocontroller sind in höheren Stückzahlen für wenige Cent verfügbar.A “microcontroller” (also µcontroller, µC, MCU) refers to semiconductor chips that contain at least one processor and at the same time also peripheral functions. The at least one processor can be designed as a microprocessor. These peripheral functions can, for. B. CAN (Controller Area Network), LIN (Local Interconnect Network), USB (Universal Serial Bus), I 2 C (Inter-Integrated Circuit), SPI (Serial Peripheral Interface), serial or Ethernet interfaces , PWM outputs, LCD controllers and drivers, and analog-to-digital converters. Some microcontrollers also have programmable digital and / or analog or hybrid function blocks. In many cases, the work and program memory are partly or completely on the same chip. A microcontroller is a one-chip computer system. The term system-on-a-chip or SoC is also used for some microcontrollers. Microcontrollers are adapted in performance and equipment according to embodiments to the respective application. Therefore they have advantages over “normal” computers in terms of costs and power consumption. Small microcontrollers are available in higher numbers for a few cents.
Beispiele für derzeit oder in der Vergangenheit auf dem Markt befindliche Mikrocontroller sind z. B. der Intel 80186 (vom 8086 abgeleitet), die XScale-Familie (ARM) sowie ColdFire (MC680xx) von Freescale (vormals Motorola). Ein Mikrocontroller kann z.B. auf 8-Bit-Prozessoren basieren, es gibt jedoch auch 4-, 16- und 32-Bit-Mikrocontroller.Examples of microcontrollers currently or in the past on the market are e.g. B. the Intel 80186 (derived from the 8086), the XScale family (ARM) and ColdFire (MC680xx) from Freescale (formerly Motorola). For example, a microcontroller can be based on 8-bit processors, but there are also 4-, 16- and 32-bit microcontrollers.
Unter einem „Mikrocontroller-basierten Überwachungssystem“ wird hier ein Datenverarbeitungssystem verstanden, dessen Funktionalität im Wesentlichen oder vollständig auf einem oder mehreren Mikrocontrollern beruht.A “microcontroller-based monitoring system” is understood here to mean a data processing system whose functionality is essentially or completely based on one or more microcontrollers.
Teilweise werden Mikrocontroller als Bestandteil eines Multi Chip Modules (MCM) verwendet, wobei das MCM das Überwachungssystem darstellt oder einen wesentlichen Teil des Überwachungssystems stellt. Beispielsweise können derartige MCM basierte Überwachungssysteme dazu verwendet werden, verschiedene Halbleiterprozesse zu kombinieren, die sich schlecht oder gar nicht auf einem Chip kombinieren lassen. Beispiele dafür sind Kombinationen von Mikrocontrollern mit Hochfrequenzschaltungen für Funkverbindungen (z. B. Atmel, Cypress, Microchip stellen solche MCMs her), mit Leistungselektronik (z. B. Freescale, ST) oder mit Flash-ROM in dessen Anfangszeiten (z. B. Micronas Intermetall). Teilweise wird die Lösung mit einem MCM auch benutzt, wenn bereits vorhandene Chips miteinander kombiniert werden sollen, aber der Aufwand für einen Neuentwurf vermieden werden soll. Beispiele dafür sind Kombinationen mit Netzwerkcontrollern, bzw. den Anschlusstreibern für Netzwerke (PHY) oder LCD-Controllern.In some cases, microcontrollers are used as part of a Multi Chip Module (MCM), with the MCM representing the monitoring system or an essential part of the monitoring system. For example, such MCM-based monitoring systems can be used to combine different semiconductor processes that can be combined poorly or not at all on one chip. Examples of this are combinations of microcontrollers with high-frequency circuits for radio connections (e.g. Atmel, Cypress, Microchip manufacture such MCMs), with power electronics (e.g. Freescale, ST) or with Flash ROM in its early days (e.g. Micronas Intermetall). In some cases, the solution with an MCM is also used when existing chips are to be combined with one another, but the effort for a new design is to be avoided. Examples of this are combinations with network controllers or the connection drivers for networks (PHY) or LCD controllers.
Demgegenüber kann ein Überwachungssystem gemäß Ausführungsformen auch auf einer „klassischen“ Mikrocontrollerarchitektur beruhen, die von Anfang an nicht als reines Mikroprozessorsystem gedacht war, sondern primär auf Steuerungsaufgaben zielt. Eine solche Architektur zeichnet sich z. B. dadurch aus, dass mit ihr auch ein Single-Chip-Betrieb völlig ohne externe Speicherbausteine möglich ist, ebenso wie der Befehlssatz der CPU meist spezialisierte Befehle für das Steuern einzelner Signalleitungen (mittels sogenannter Bitmanipulationen) bietet. Derartige mikrocontrollerbasierte Überwachungssysteme zeichnen sich oftmals durch eine sehr kurze Interrupt-Latenzzeit, also die Zeitspanne, die der Controller braucht, um auf die Unterbrechungsanforderung einer Signalquelle (Zeitgeber, Peripheriebaustein etc.) zu reagieren, aus. Typische Vertreter dieser Gattung sind z. B. der 8051 von Intel sowie der C166 von Siemens (heute Infineon) und Infineon TriCore. Zur Funktionsüberwachung von Mikrocontrollersteuerungen können z.B. sogenannte Watchdog-Schaltungen eingesetzt werden, die teilweise aber auch schon in den Mikrocontroller integriert sind.In contrast, a monitoring system according to embodiments can also be based on a “classic” microcontroller architecture, which was not intended from the start as a pure microprocessor system, but is primarily aimed at control tasks. Such an architecture is characterized e.g. B. in that single-chip operation is possible with it completely without external memory modules, just as the instruction set of the CPU mostly offers specialized commands for controlling individual signal lines (by means of so-called bit manipulations). Such microcontroller-based monitoring systems are often characterized by a very short interrupt latency, i.e. the time that the controller needs to react to the interrupt request from a signal source (timer, peripheral module, etc.). Typical representatives of this genus are z. B. the 8051 from Intel as well as the C166 from Siemens (today Infineon) and Infineon TriCore. So-called watchdog circuits, for example, can be used to monitor the functioning of microcontroller controls, some of which are already integrated into the microcontroller.
Unter einem „Mikroprozessor-basierten Überwachungssystem“ wird hier ein Datenverarbeitungssystem verstanden, das einen oder mehrere Mikroprozessoren beinhaltet und diese nutzt, um weitere Komponenten des Überwachungssystems wie z.B. Sensoren und/oder Steuereinheiten für überwachungssystem-interne und/oder externe Funktionen, anzusteuern.A “microprocessor-based monitoring system” is understood here to mean a data processing system that contains one or more microprocessors and uses them to control additional components of the monitoring system such as sensors and / or control units for internal and / or external functions of the monitoring system.
Unter einem „eingebetteten System“ (auch „embedded system“) wird hier ein mikrocontrollerbasiertes Überwachungssystem verstanden, welches in ein physisches Objekt mit einer bestimmten Funktion integriert ist. Beispielswiese kann das Überwachungssystem in Gestalt eines eingebetteten Systems in Form eines technischen Gebrauchsartikeln, Fahrzeugen, Gebäudekomponenten, Maschinen, Maschinenkomponenten, insbesondere Sensoren oder Steuereinheiten realisiert sein. Waschmaschinen, Chipkarten (Geld-, Telefonkarten), Unterhaltungselektronik (Videorekordern, CD-/DVD-Spieler, Radios, Fernsehgeräten, Fernbedienungen), Büroelektronik, Segways, Kraftfahrzeugen (Steuergeräte für z. B. ABS, Airbag, Motor, Kombiinstrument, ESP usw.), Mobiltelefonen sowie Uhren und Armbanduhren sind Beispiele für eingebettete Systeme. Darüber hinaus sind eingebbettete Systeme in praktisch allen Computer-Peripheriegeräten enthalten (Tastatur, Maus, Drucker, Monitor, Scanner uvm.).An “embedded system” is understood here to mean a microcontroller-based monitoring system that is integrated into a physical object with a specific function. For example, the monitoring system can be in the form of an embedded system in the form of a technical Consumer articles, vehicles, building components, machines, machine components, in particular sensors or control units. Washing machines, chip cards (money cards, phone cards), entertainment electronics (video recorders, CD / DVD players, radios, televisions, remote controls), office electronics, Segways, motor vehicles (control devices for e.g. ABS, airbags, motors, instrument clusters, ESP, etc. .), Cell phones, and clocks and watches are examples of embedded systems. In addition, embedded systems are contained in practically all computer peripheral devices (keyboard, mouse, printer, monitor, scanner, etc.).
Unter einer „Anfrageeinheit“ wird hier ein Datenverarbeitungssystem verstanden, das dazu ausgebildet ist, eine Anfrage zu erzeugen und über ein Netzwerk, z.B. das Internet, an eine oder mehrere Überwachungssysteme zu senden. Eine Anfrage kann verschiedenen Inhalts sein. Sie kann z.B. Daten von dem Überwachungssystem anfordern, oder einen Zugriff auf die in dem Überwachungssystem enthaltenen Daten und/oder Funktionen. Die Anfrage kann sich auch auf die Durchführung einer Steuerungsfunktion beziehen, welche den aktuellen Zustand des Überwachungsobjekts bestimmen oder ändern kann. Gemäß manchen Ausführungsformen ist die Anfrageeinheit ein Überwachungssystem gemäß einer der hier beschriebenen Ausführungsformen der Erfindung.A “query unit” is understood here to mean a data processing system that is designed to generate a query and send it to one or more monitoring systems via a network, e.g. the Internet. A request can have different content. It can, for example, request data from the monitoring system, or access to the data and / or functions contained in the monitoring system. The request can also relate to the implementation of a control function which can determine or change the current state of the monitoring object. According to some embodiments, the query unit is a monitoring system according to one of the embodiments of the invention described here.
Unter einem „Überwachungsobjekt“ wird hier ein physisches Objekt verstanden, das mehrere unterschiedliche Zustände einnehmen kann.A “monitoring object” is understood here to mean a physical object that can assume several different states.
Unter einem „Infrastrukturobjekt“ wird hier ein physisches Objekt verstanden, welches Bestandteil der Infrastruktur eines menschlichen Kollektivs (z.B. Organisation, Firma, Dorf, Stadt, Nation, etc.) ist. Bei dem physischen Objekt kann es sich z.B. um ein Gebäude, Gebäudetechnikkomponenten, eine Energieerzeugungsanlage, eine militärische Anlage, eine Vorrichtung, eine Maschine, ein Gerät oder um eine Komponente der vorgenannten Infrastrukturobjekte handeln. Ein Infrastrukturobjekt implementiert typischerweise eine oder mehrere Funktionen, die für das Funktionieren der jeweiligen Infrastruktur notwendig oder förderlich ist. Bei dieser Funktion kann es sich z.B. um Steuerungsfunktionen, Monitoringfunktionen, Datenaustauschfunktionen und sonstige Berechnungsfunktionen handeln.An "infrastructure object" is understood here as a physical object that is part of the infrastructure of a human collective (e.g. organization, company, village, city, nation, etc.). The physical object can be, for example, a building, building technology components, an energy generation system, a military system, a device, a machine, a device or a component of the aforementioned infrastructure objects. An infrastructure object typically implements one or more functions that are necessary or beneficial for the functioning of the respective infrastructure. This function can be, for example, control functions, monitoring functions, data exchange functions and other calculation functions.
Unter „operativer Koppelbarkeit“ wird hier die Fähigkeit eines Überwachungssystems verstanden, nach einer mechanischen und/oder softwarebasierten Kopplung an ein Überwachungsobjekt dazu ausgebildet ist, Zustände, insbesondere Leistungs- und Fehlerparameter, des Überwachungsobjekts zu erfassen und/oder zu steuern. Die operative Koppelbarkeit kann in der Etablierung einer Kommunikationsverbindung zum Austausch von Messdaten und/oder Kontrollbefehlen bestehen. Beispielsweise kann das Überwachungssystem ein oder mehrere Sensoren beinhalten, die nach der Kopplung dazu fähig sind, Zustandsparameter des Überwachungsobjekts zu sensieren und/oder zu empfangen. Zusätzlich oder alternativ kann das Überwachungssystem eine Steuereinheit besitzen, die dazu ausgebildet ist, nach der Kopplung durch Erzeugung und Senden von Kontrollbefehlen an das Überwachungsobjekt dieses zu veranlassen, ein oder mehrere Funktionen auszuführen. Die operative Kopplung kann je nach Überwachungssystem, Sensor, Steuereinheit und Überwachungsobjekt z.B. im Aufbau eines kabelgebundenen Datenaustauschkanals, im Aufbau einer drahtlosen Kommunikationsverbindung z.B. über Funk oder Infrarot, in Form einer mechanischen Befestigung des Überwachungssystems und/oder seines Sensors an dem Überwachungsobjekt bestehen.“Operational connectivity” is understood here to mean the ability of a monitoring system, after a mechanical and / or software-based coupling to a monitoring object, is designed to detect and / or control states, in particular performance and error parameters, of the monitoring object. The operational linkability can consist in the establishment of a communication connection for the exchange of measurement data and / or control commands. For example, the monitoring system can contain one or more sensors which, after coupling, are capable of sensing and / or receiving state parameters of the monitored object. Additionally or alternatively, the monitoring system can have a control unit which is designed to cause the monitoring object to perform one or more functions after the coupling by generating and sending control commands. Depending on the monitoring system, sensor, control unit and monitoring object, the operative coupling can consist, for example, in the establishment of a wired data exchange channel, in the establishment of a wireless communication link, e.g. via radio or infrared, in the form of a mechanical attachment of the monitoring system and / or its sensor to the monitored object.
Unter „Nutzdaten“ werden hier Daten verstanden, die für einen Nutzer, für einen Arbeitsablauf oder für eine Hardware- oder Softwarefunktionalität außerhalb des sie beinhaltenden Zugriffs-Verwaltungssystems relevant sind und welche nicht der Zugriffsverwaltung von Zugriffsrechten verschiedener Nutzer eines Zugriffs-Verwaltungssystems dienen. Nutzdaten können insbesondere Messwerte, Text, Zeichen, Bilder und Töne umfassen. Beispielsweise können die Nutzdaten Statusdaten von einem oder mehreren Überwachungsobjekten beinhalten die von dem Sensor eines operativ an das Überwachungsobjekt gekoppelten Überwachungssystem erfasst wurden.“User data” is understood here to mean data that is relevant for a user, for a workflow or for hardware or software functionality outside of the access management system containing them and which are not used to manage the access rights of different users of an access management system. User data can in particular include measured values, text, characters, images and sounds. For example, the useful data can contain status data from one or more monitoring objects that were recorded by the sensor of a monitoring system that is operatively coupled to the monitoring object.
Eine „NoSQL“ (englisch für Not only SQL) Datenbank ist eine Datenbank, die einen nicht-relationalen Ansatz verfolgt und keine festgelegten Tabellenschemata benötigt. Zu den NoSQL Datenbanken gehören insbesondere dokumentenorientierte Datenbanken wie Apache Jackrabbit, BaseX, CouchDB, IBM Notes, MongoDB, Graphdatenbanken wie Neo4j, OrientDB, InfoGrid, HyperGraphDB, Core Data, DEX, AllegroGraph, und 4store, verteilte ACID-Datenbanken wie MySQL Cluster, Key-Value-Datenbanken wie Chordless, Google BigTable, GT.M, InterSystems Cache, Membase, Redis, sortierte Key-Value-Speicher, Multivalue-Datenbanken, Objektdatenbanken wie Db4o, ZODB, spaltenorientierte Datenbanken und temporale Datenbanken wie Cortex DB.A "NoSQL" (English for Not only SQL) database is a database that follows a non-relational approach and does not require any fixed table schemes. The NoSQL databases include in particular document-oriented databases such as Apache Jackrabbit, BaseX, CouchDB, IBM Notes, MongoDB, graph databases such as Neo4j, OrientDB, InfoGrid, HyperGraphDB, Core Data, DEX, AllegroGraph, and 4store, distributed ACID databases such as MySQL Cluster, Key -Value databases such as Chordless, Google BigTable, GT.M, InterSystems Cache, Membase, Redis, sorted key-value memories, multivalue databases, object databases such as Db4o, ZODB, column-oriented databases and temporal databases such as Cortex DB.
Unter einem „Zugriffs-Verwaltungssystem“ wird im Folgenden ein elektronisches System oder eine Software zur Speicherung und Wiedergewinnung von Daten und zur Verwaltung von Zugriffsrechten bezüglich dieser Daten verstanden. Beispielsweise kann es sich bei dem Zugriffs-Verwaltungssystem um ein „Datenbankmanagementsystem“ (DBMS) handeln. In manchen Ausführungsformen ist das Zugriffs-Verwaltungssystem in einem Programmspeicher eines mikrocontrollerbasierten Datenverarbeitungssystems gespeichert. Vorzugsweise werden die Daten in dem Zugriffs-Verwaltungssystem widerspruchsfrei und dauerhaft gespeichert und verschiedenen Anwendungsprogrammen und Nutzern in bedarfsgerechter Form effizient zur Verfügung gestellt. Ein Datenbankmanagementsystem kann typischerweise ein oder mehrere Datenbanken beinhalten und die darin enthaltenen Datensätze verwalten.In the following, an “access management system” is understood to mean an electronic system or software for storing and retrieving data and for managing access rights with regard to this data. For example, the access management system can be a “database management system” (DBMS). In some embodiments, it is Access management system stored in a program memory of a microcontroller-based data processing system. The data are preferably stored consistently and permanently in the access management system and are efficiently made available to various application programs and users in a needs-based form. A database management system can typically contain one or more databases and manage the data records contained therein.
Unter einem „Datensatz“ wird im Folgenden eine inhaltlich zusammenhängende und gemeinsam von einem Datenbankmanagementsystem verwaltete Menge an Daten verstanden. Ein Datensatz stellt typischerweise die kleinste strukturelle Einheit des Datenbestandes einer bestimmten Datenbank dar.In the following, a “data record” is understood to be a content-related amount of data that is jointly managed by a database management system. A data record typically represents the smallest structural unit of the data in a particular database.
Unter einer „Datenbank“ wird im Folgenden eine (typischerweise große) Menge von Daten verstanden, die in einem Computersystem von einem Zugriffs-Verwaltungssystem nach bestimmten Kriterien verwaltet werden.In the following, a “database” is understood to mean a (typically large) amount of data that is managed in a computer system by an access management system according to certain criteria.
Unter einer „ID-Datenbank“ wird im Folgenden eine Datenbank verstanden, welche nutzerbezogene Informationen wie zum Beispiel Nutzer-Zertifikate sowie diesen Nutzern zugewiesene Rechte in Form von weiteren Zertifikaten enthält und verwaltet. In Abgrenzung zu Nutzdaten-Datenbanken, welche vorwiegend der Speicherung von Nutzdaten dienen, dient die ID-Datenbank vorwiegend der Verwaltung der den Nutzern im Hinblick auf die Nutzdaten zugewiesenen Eigner- und Zugriffsrechte.In the following, an “ID database” is understood to mean a database which contains and manages user-related information such as user certificates and the rights assigned to these users in the form of further certificates. In contrast to user data databases, which are mainly used to store user data, the ID database is mainly used to manage the owner and access rights assigned to users with regard to user data.
Unter einem „Nutzer“ wird im Folgenden die digitale Repräsentanz einer menschlichen Person oder eines physischen Objekts, insbesondere eines Softwareprogramms oder eines Datenverarbeitungssystems, insbesondere eines Überwachungssystems und/oder einer Anfrageeinheit, verstanden. Beispielsweise kann ein Nutzer eine Anfrage an ein Überwachungssystem senden, wobei die weitere Verarbeitung der Anfrage durch das Überwachungssystem davon abhängen kann, ob der Absende-Nutzer dem empfangenden Überwachungssystem „bekannt“ ist, also der Absender-Nutzer bei dem Überwachungssystem, das die Anfrage empfängt, registriert ist. Die digitale Repräsentanz kann z.B. bei einem Zugriffs-Verwaltungssystem registriert sein, das auf diesem Überwachungssystem instanziiert ist.In the following, a “user” is understood to mean the digital representation of a human person or a physical object, in particular a software program or a data processing system, in particular a monitoring system and / or an inquiry unit. For example, a user can send a request to a monitoring system, the further processing of the request by the monitoring system may depend on whether the sending user is "known" to the receiving monitoring system, i.e. the sending user is in the monitoring system that receives the request , is registered. The digital representation can, for example, be registered with an access management system that is instantiated on this monitoring system.
Unter einem „Zertifikat“ wird hier im Folgenden ein Datenwert verstanden, welcher eine Eigenschaft (z.B. Identität eines Nutzers) oder ein Recht (z.B. Zugriffsrecht) repräsentiert und gegenüber Dritten beglaubigt („zertifiziert“). Das Zertifikat enthält die zu seiner Prüfung erforderlichen Daten entweder selbst oder ist mit zertifikatsbezogenen Metadaten verknüpft gespeichert, sodass die zu seiner Prüfung erforderlichen Daten aus den Metadaten bezogen werden können.In the following, a “certificate” is understood to mean a data value which represents a property (e.g. identity of a user) or a right (e.g. access right) and is authenticated (“certified”) to third parties. The certificate either contains the data required for its verification itself or is stored linked to certificate-related metadata, so that the data required for its verification can be obtained from the metadata.
Bei einem Zertifikat kann es sich um einen einfachen Datenwert, insbesondere einen numerischen Wert handeln. Insbesondere ein Zugriffs-Zertifikat kann als einfacher numerischer Wert repräsentiert sein.A certificate can be a simple data value, in particular a numerical value. In particular, an access certificate can be represented as a simple numerical value.
Beispielsweise kann das Zertifikat als Zahlenwert ausgebildet sein, welchem in der ID-Datenbank Metadaten zugeordnet sind. Die Verwendung von Zahlwerten kann vorteilhaft sein, da diese sich gut indexieren und schnell prüfen bzw. vergleichen lassen und nicht einer Variation durch leicht modifizierte Metadaten unterworfen sind. Vorzugsweise sind die Zugriffs-Zertifikate einzelner Nutzer als Attributzertifikate, insbesondere als Zahlwerte ausgebildet. Attributzertifikate enthalten keinen öffentlichen Schlüssel, sondern verweisen auf ein Public-Key-Zertifikat und legen dessen Geltungsbereich genauer fest.For example, the certificate can be designed as a numerical value to which metadata is assigned in the ID database. The use of numerical values can be advantageous because they are easy to index and can be checked or compared quickly and are not subject to variation due to slightly modified metadata. The access certificates of individual users are preferably designed as attribute certificates, in particular as numerical values. Attribute certificates do not contain a public key, but refer to a public key certificate and define its scope more precisely.
Alternativ dazu kann es sich bei einem Zertifikat aber auch um einen komplexeren digitalen Datensatz handeln, der bestimmte Eigenschaften von Nutzern oder anderen Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren prüfbar macht. Das Zertifikat kann z.B. nach dem Standard X.509 ausgebildet sein, also einen öffentlichen Schlüssel beinhalten und die Identität des Inhabers sowie weitere Eigenschaften des öffentlichen kryptographischen Schlüssels des Zertifikats bestätigen.Alternatively, a certificate can also be a more complex digital data record that confirms certain properties of users or other objects and makes its authenticity and integrity verifiable using cryptographic processes. The certificate can be designed, for example, according to the X.509 standard, i.e. it can contain a public key and confirm the identity of the owner and other properties of the public cryptographic key of the certificate.
Die Ausstellung des Zertifikats kann - z.B. bei Nutzer-Zertifikaten - durch eine offizielle Zertifizierungsstelle, die Certification Authority (CA), erfolgen.The certificate can be issued - e.g. in the case of user certificates - by an official certification authority, the Certification Authority (CA).
Ein Zertifikat kann sich, muss sich aber nicht notwendigerweise auf einen kryptographischen Schlüssel beziehen, sondern kann allgemein Daten zur Prüfung einer elektronischen Signatur enthalten oder mit diesen Daten verknüpft gespeichert sein. A certificate can, but does not necessarily have to refer to a cryptographic key, but can generally contain data for checking an electronic signature or be stored linked to this data.
Unter einem „Root-Zertifikat“ oder „Wurzel-Zertifikat“ wird im Folgenden dasjenige Zertifikat bezeichnet, das den Vertrauensanker einer PKI darstellt. Da das Wurzel-zertifikat und damit die gesamte Zertifikatshierarchie nur vertrauenswürdig bleibt, solange dessen privater Schlüssel ausschließlich der ausstellenden Partei bekannt ist, kommt dem Schutz der Root-CA höchste Bedeutung zu.In the following, a “root certificate” or “root certificate” refers to the certificate that represents the trust anchor of a PKI. Since the root certificate and thus the entire certificate hierarchy can only be trusted as long as its private key is known exclusively to the issuing party, protecting the root CA is of the utmost importance.
Gemäß manchen Ausführungsformen stellt das Nutzer-Zertifikat desjenigen Nutzers, der in der Hierarchie einer Organisation ganz oben angesiedelt ist, das Root-Zertifikat der PKI dieser Organisation dar. Die Nutzer-Zertifikate aller anderen Mitglieder dieser Organisation sind von dem privaten Schlüssel dieses Root-Zertifikats signiert und damit von diesem gemäß einer Zertifikatskettenhierarchie abhängig. Aufgrund des hohen Schutzbedürfnisses des Root-Zertifikats erfolgt die automatische Verarbeitung von Signatur- oder Verschlüsselungsanforderungen mit Unterzertifikaten, die mit dem Root-Zertifikat signiert wurden und eine kürzere Gültigkeit (meist wenige Monate bis Jahre) als das Root-Zertifikat (das in der Regel mehrere Jahre oder Jahrzehnte gilt) aufweisen. Beispielsweise können die Nutzer-Zertifikate anderer Nutzer und/oder die von einzelnen Nutzern ausgestellten oder übertragenen Eigner-Zertifikate, Zugriffs-Zertifikate und/oder Attribut-Zertifikate eine begrenzte Gültigkeitsdauer von wenigen Tagen oder Monaten haben. Die Gültigkeit der Unterzertifikate wird so gewählt, dass es als unwahrscheinlich angesehen werden kann, dass die zu den Unterzertifikaten gehörenden privaten Schlüssel innerhalb des gewählten Gültigkeitszeitraums mit derzeit verfügbarer Rechenkapazität berechnet werden können. Auf diese Weise entsteht eine Zertifikatskette, bei der jeweils auf das unterzeichnende Zertifikat als ausgebende Stelle verwiesen wird. Diese Kette wird in der Regel als Teil eines Zertifikats mitgeliefert, um eine Prüfung bezüglich Vertrauenswürdigkeit, Gültigkeit und ggf. vorhandenem Zertifikatswiderruf entlang der gesamten Zertifikatskette zu ermöglichen.According to some embodiments, the user certificate of that user who is at the top of the hierarchy of an organization represents the root certificate of the PKI of this organization. The user certificates of all other members of this organization are from the private key of this root certificate signed and with it dependent on this according to a certificate chain hierarchy. Due to the high protection requirements of the root certificate, signature or encryption requests are automatically processed with sub-certificates that were signed with the root certificate and have a shorter validity (usually a few months to years) than the root certificate (which usually has several Years or decades). For example, the user certificates of other users and / or the owner certificates, access certificates and / or attribute certificates issued or transferred by individual users can have a limited period of validity of a few days or months. The validity of the sub-certificates is chosen so that it can be regarded as improbable that the private keys belonging to the sub-certificates can be calculated within the selected period of validity with the currently available computing capacity. In this way, a certificate chain is created, in which the signing certificate is referred to as the issuing body. This chain is usually supplied as part of a certificate in order to enable a check with regard to trustworthiness, validity and, if necessary, existing certificate revocation along the entire certificate chain.
Unter einem „Eigner“ oder „Eigentümer“ wird im Folgenden ein Nutzer verstanden, dem durch Zuweisung eines Eigner-Zertifikats das Recht im Hinblick auf eine bestimmte Nutzdaten-Datenbank eingeräumt wurde, in dieser Datensätze zu erstellen und eine Datenbankverbindung mit dieser Datenbank aufzubauen. Nach ausführungsformen leiten sich alle Eigner-Zertifikate, die für die Nutzdaten-Datenbanken des Überwachungssystems ausgestellt wurden, vom Nutzer-Zertifikat („CEO-Zertifikat“) desjenigen Nutzers ab, der die höchste Position innerhalb der Organisation, die das Überwachungssystem betreibt, innehat. Die Ableitung aus diesem Nutzer-Zertifikat bedeutet, dass jede Kopie dieses Eigner-Zertifikats per Zertifikatskettenprüfung auf Validität überprüft werden kann, wobei die für die Zertifikatskettenprüfung verwendete Zertifikatskette das „CEO-Nutzer-Zertifikat“ beinhaltet.An "owner" or "owner" is understood in the following to be a user who has been granted the right to create data records in a specific user data database and to establish a database connection with this database by assigning an owner certificate. According to the design, all owner certificates that were issued for the user data databases of the monitoring system are derived from the user certificate (“CEO certificate”) of the user who holds the highest position within the organization that operates the monitoring system. The derivation from this user certificate means that every copy of this owner certificate can be checked for validity by means of a certificate chain check, whereby the certificate chain used for the certificate chain check contains the “CEO user certificate”.
Unter einem im Hinblick auf einen bestimmten Datensatz „zugriffsberechtigten Nutzer“ wird im Folgenden ein Nutzer verstanden, dem durch Zuweisung eines Zugriffs-Zertifikats das Recht eingeräumt wurde, auf einen Datensatz, der dieses Zugriffs-Zertifikat beinhaltet, auf die Weise zuzugreifen, die in diesem Zugriffs-Zertifikat oder in Metadaten dieses Zugriffs-Zertifikats spezifiziert ist, sofern optional ggf. weitere notwendige Kriterien, wie z.B. die Eignerschaft bezüglich der den Datensatz enthaltenden Datenbank, erfüllt sind.In the following, an “authorized user” with regard to a certain data record is understood to mean a user who has been granted the right to access a data record that contains this access certificate in the manner specified in this by assigning an access certificate Access certificate or is specified in metadata of this access certificate, provided that other necessary criteria, such as ownership of the database containing the data record, are optionally met.
Die Verwendung von Ordinalzahlen wie erstes, zweites, drittes etc. dient hier, allein der Unterscheidung voneinander Elemente und/oder Personen mit ansonsten gleicher Bezeichnung und soll keine bestimmte Reihenfolge implizieren. Ferner kann es sich bei Elemente und/oder Personen, deren Bezeichnung sich allein durch eine Ordinalzahl unterscheidet, soweit sich aus dem konkreten Zusammenhang nicht eindeutig etwas anderes ergibt, um identische oder voneinander verschiedene Elemente bzw. Personen handeln.The use of ordinal numbers such as first, second, third, etc. is used here, solely to differentiate between elements and / or people with otherwise the same designation and is not intended to imply a specific sequence. Furthermore, elements and / or persons whose designation differs solely through an ordinal number can be identical or different elements or persons, unless the specific context clearly indicates otherwise.
FigurenlisteFigure list
Verschiedene Ausführungsformen eines erfinderischen Überwachungssystems sowie eines entsprechenden Verfahrens zum Betrieb eines solchen Überwachungssystems sind in den nachfolgend beschriebenen Zeichnungen veranschaulicht. Darin zeigen:
-
1 ein Blockdiagramm einer Ausführungsform eines erfindungsgemäßen Überwachungssystems; -
2 ein Flussdiagramm einer Ausführungsform eines erfindungsgemäßen Verfahrens; -
3 ein Blockdiagramm eines Systems mit einem kritischen Infrastrukturgebäude gemäß einer Ausführungsform, dessen Komponenten von Überwachungssystemen gesteuert wird; -
4 ein Blockdiagramm eines verteilten Systems mit mehreren Überwachungssystemen gemäß einer Ausführungsform, die ML-Modelle von Vorhersageprogrammen synchronisieren; -
5 ein Blockdiagramm eines Überwachungssystems mit mehreren Datenbanken, -
6 den Vorgang der Erstellung von Berechtigungstoken für zwei Nutzer gemäß einer Ausführungsform, -
7 den Ablauf der Einräumung von Zugriffsrechten über eine Sequenz von Nutzern, -
8 Ein Beispiel für Nutzdaten, die Bestandteil eines Datensatzes sind, -
9 zwei dynamisch und unabhängig voneinander generierte Hierarchien, entlang welcher einerseits Zugriffsrechte und andererseits Eignerrechte über eine Kaskade von Überwachungssystemen vergeben wurden, und -
10 ein Flussdiagramm eines Verfahrens zur Übertragung von Eignerrechten und Zugriffsrechten von einem Überwachungssystem auf ein anderes.
-
1 a block diagram of an embodiment of a monitoring system according to the invention; -
2 a flow chart of an embodiment of a method according to the invention; -
3 a block diagram of a system including a critical infrastructure building, according to an embodiment, the components of which are controlled by monitoring systems; -
4th FIG. 12 is a block diagram of a distributed system having multiple monitoring systems synchronizing ML models of prediction programs, according to an embodiment; FIG. -
5 a block diagram of a monitoring system with multiple databases, -
6th the process of creating authorization tokens for two users according to one embodiment, -
7th the process of granting access rights to a sequence of users, -
8th An example of user data that is part of a data record, -
9 two dynamically and independently generated hierarchies, along which, on the one hand, access rights and, on the other hand, owner rights were assigned via a cascade of monitoring systems, and -
10 a flow diagram of a method for transferring ownership and access rights from one surveillance system to another.
Ausführliche BeschreibungDetailed description
Beispielsweise kann das Überwachungssystem
Das Überwachungssystem
Gemäß manchen Ausführungsformen wie der in
Gemäß einer Ausführungsform kann eine Anfrageeinheit
Gemäß einer Ausführungsform beinhaltet Anfrage einen Berechtigungsnachweis
Das Prüfprogramm
Falls diese erste Prüfung ergibt, dass das Überwachungssystem
Das Prüfprogramm
Beispielsweise können in der Nutzdaten-Datenbank
In anderen Ausführungsformen kann die Funktionalität
In einem ersten Schritt 802 wird das Überwachungssystem
In einem nächsten Schritt 804 empfängt das Überwachungssystem
Zum Schutz gegen solche Angriffe führt das Überwachungssystem
Falls dies nicht der Fall ist, bricht das Überwachungssystem
Falls die erste Prüfung jedoch zu einem positiven Ergebnis führt, führt das Überwachungssystem in Schritt
Für den Fall, dass auch die weitere Prüfung positiv verläuft, also zum Ergebnis hat, dass die weiteren benötigten Rechte vorliegen, ermöglicht das Überwachungssystem
Alternativ dazu kann die Funktion
In einem weiteren optionalen Schritt 818 gibt das Überwachungssystem das Ergebnis der Funktionsausführung an die Anfrageeinheit zurück. Beispielsweise kann die Funktion das Absenden eines Steuerbefehls an das Überwachungsobjekt beinhalten und das zurückgegebene Ergebnis beinhaltet eine Nachricht, dass der Steuerbefehl abgegeben und umgesetzt wurde.In a further
In einem Beispiel beinhaltet ein Krankenhausgebäude
Dies ist nur ein Beispiel, wie die direkte Kommunikation zwischen IoT Endknoten gerade im Kontext von sicherheitskritischen Infrastrukturobjekten und Notfallsituationen besonders vorteilhaft sein kann: beim Ausfall wichtiger Komponenten wie z.B. der normalen Stromversorgung ist eine zentrale Steuerung mehrerer Komponenten durch einen zentralen Computer eventuell nicht möglich. Dadurch, dass die einzelnen Überwachungssysteme, die vorzugweise batteriebetrieben und damit weitgehend autonom arbeiten können, direkt miteinander kommunizieren, wird das gesamte System erheblich robuster. Durch das beschriebene mehrstufige Prüfverfahren können Ausführungsformen der Erfindung sicherstellen, dass sensible Funktionen nur von berechtigten Überwachungssystemen ausgelöst werden können und/oder dass die Interoperabilität der Überwachungssysteme nicht mit dem Nachteil einhergeht, für DoS Angriffe ein leichtes Ziel zu bieten.This is just one example of how direct communication between IoT end nodes can be particularly advantageous, especially in the context of security-critical infrastructure objects and emergency situations: if important components fail, such as the normal power supply, central control of several components by a central computer may not be possible. The fact that the individual monitoring systems, which are preferably battery-operated and can therefore work largely autonomously, communicate directly with one another make the entire system considerably more robust. By means of the multi-stage test method described, embodiments of the invention can ensure that sensitive functions can only be triggered by authorized monitoring systems and / or that the interoperability of the monitoring systems is not accompanied by the disadvantage of offering an easy target for DoS attacks.
Beispielsweise beinhaltet die operative Kopplung den Aufbau eines Datenaustauschkanals zwischen Überwachungssystem und Überwachungsobjekt.For example, the operational coupling includes the establishment of a data exchange channel between the monitoring system and the monitoring object.
Die Überwachungssysteme können im Wesentlichen gleichen oder ähnlichen Typs sein. Beispielsweise kann es sich bei den Überwachungsobjekten um Kühlwasserpumpen für Kraftwerke handeln. Bei den Überwachungssystemen kann es sich jeweils um sogenannte „eingebettete Systeme“ handeln, die bereits vom Hersteller der Pumpen mit den Pumpen operativ verbunden werden. Beispielsweise kann jeder der Mikrocontroller einen Umdrehungssensor
Gemäß Ausführungsformen werden die von den Sensoren erfassten Messdaten lokal gespeichert, z.B. in einer Nutzdaten-Datenbank, und als Trainingsdatensatz zum Trainieren eines statistischen prädiktiven Modells, auch „Machine-Learning Modell“ oder „ML-Modell“ genannt, verwendet.According to embodiments, the measurement data captured by the sensors are stored locally, e.g. in a user data database, and used as a training data set for training a statistical predictive model, also called a “machine learning model” or “ML model”.
Beispielsweise kann jedes der Überwachungssysteme ein Vorhersageprogramm
Gemäß Ausführungsformen der Erfindung beinhaltet jedes der Vorhersageprogramme auch ein Modul bzw. eine Funktion zum kontinuierlichen Erfassen und Speichern von Daten, die als Trainingsdaten
Beispielsweise kann jedes der Überwachungssysteme einer Pumpe spezifisch zugeordnet und an diese operativ gekoppelt sein. Beispielsweise kann Überwachungssystem
Beispielsweise kann es sich bei dem Vorhersageproblem um das Problem der Vorhersage des Zeitpunkts handeln, wann eine Pumpe wegen Materialermüdung ausgetauscht werden muss. Beispielsweise können die Trainingsdaten neben den Schwingungszuständen, von welchen bekannt ist, dass diese gute Indikatoren bzw. Prädikatoren für Materialermüdung sind, auch Umdrehungszahlen beinhalten, die ggf. ebenfalls eine gewisse Prädiktivität für die zu erwartende Materialermüdung besitzen.For example, the prediction problem can be the problem of predicting when to replace a pump due to fatigue. For example, in addition to the vibration states, which are known to be good indicators or predictors for material fatigue, the training data can also contain revolutions, which may also have a certain predictivity for the expected material fatigue.
Bei jedem der Vorhersageprogramme kann es sich um eine bereits vortrainierte, ML-basierte Übersetzungssoftware handeln, die dazu verwendet wird, aktuell gemessene Eingabedaten (zum Beispiel aktuelle Schwingungszustände und aktuelle Umdrehungszahl der Pumpe) zu nutzen, um den Zeitpunkt vorherzusagen, an dem die Schwingungszustände die Notwendigkeit des Ersetzens der Pumpe anzeigen. Der Zeitpunkt von in der Vergangenheit durchgeführten Ersetzungen von Pumpen oder Pumpenkomponenten bei bestimmten Schwingungszuständen und Umdrehungswerten ist in den Trainingsdatensätzen ebenfalls enthalten. Im Zuge der Trainingsphase lernt das ML-Modell, Schwingungszustände und/oder Umdrehungszahlprofile dem Zeitpunkt zuzuordnen, an welchem die Pumpe oder Pumpenkomponenten wegen Materialverschleiß ersetzt wurden. Die erlernten Zuordnungen können beispielsweise in Form von ein oder mehreren Tabellen 912.1, 912.2, 912.3 gespeichert werden. Diese im Laufe der Zeit gewonnenen Messwerte und Zuordnungen werden als Trainingsdaten
Gemäß Ausführungsformen für jedes der Überwachungssysteme in regelmäßigen Abständen ein erneutes Training seines ML-Modells
Gemäß bevorzugter Ausführungsformen beinhaltet jedes der Vorhersageprogramme ein Modul
In der ID-Datenbank der jeweiligen Überwachungssysteme können Nutzerzertifikate, Eignerzertifikate und/oder Zugriffszertifikate sowie entsprechende Kettenobjekte, welche Eignerrechte und/oder Zugriffsrechte einzelnen Nutzern (und damit Überwachungssystemen) zuweisen, gespeichert sein. Im Zuge der Synchronisation sendet jedes der Überwachungssysteme eine Synchronisations-Anfrage an jedes der anderen Überwachungssysteme, wobei das als Empfänger dieser Anfrage fungierende Überwachungssystem dazu konfiguriert ist, eine Prüfung der Anfrage gemäß den hier beschriebenen Ausführungsformen der Erfindung durchzuführen. Beispielsweise beinhaltet die Synchronisationsanfrage zumindest ein Zugriffs-Zertifikat, welches zum lesenden und/oder schreibenden Zugriff auf einen bestimmten Datensatz des Empfänger-Überwachungssystems berechtigt. Das Zugriffszertifikat ist ein einfacher numerischer Wert, zum Beispiel „29347293892877172“. Das Empfänger-Überwachungssystem prüft nach Erhalt der Anfrage zunächst in einem ersten Prüfschritt, ob ein solcher Wert in seiner ID-Datenbank vorhanden ist. Da es sich bei diesem Schritt nur um einen Vergleich einer numerischen Zahl auf Identität handelt, kann dieser Schritt sehr schnell durchgeführt werden.User certificates, owner certificates and / or access certificates as well as corresponding chain objects which assign owner rights and / or access rights to individual users (and thus monitoring systems) can be stored in the ID database of the respective monitoring systems. In the course of the synchronization, each of the monitoring systems sends a synchronization request to each of the other monitoring systems, the monitoring system acting as the recipient of this request being configured to carry out a check of the request in accordance with the embodiments of the invention described here. For example, the synchronization request contains at least one access certificate which authorizes read and / or write access to a specific data record of the recipient monitoring system. The access certificate is a simple numeric value, for example "29347293892877172". After receiving the request, the receiver monitoring system first checks in a first test step whether such a value is available in its ID database. Since this step is only a comparison of a numerical number for identity, this step can be carried out very quickly.
Falls das Empfänger-Überwachungssystem diesen Wert nicht kennt, wird keine weitere Prüfung durchgeführt und die Anfrage nicht beantwortet. Gemäß Ausführungsformen unterbricht das Empfänger-Überwachungssystem zumindest für eine gewisse Zeit die Netzwerkverbindung zu dem Sender-Überwachungssystem
Nur für den Fall, dass ein entsprechender Wert in der ID Datenbank enthalten ist, führt das Empfänger-Überwachungssystem weitere Prüfschritte durch, die insbesondere eine komplexe Prüfung beinhalten, ob das Überwachungssystem, von dem die Anfrage stammt, die nötigen Rechte hat, die angefragte Zugriffsaktion auf den Datensatz bzw. die Datenbank durchzuführen. Beispielsweise kann im Zuge dieser weiteren Prüfung eine komplexe und rechnerisch aufwändige Zertifikatskettenprüfung durchgeführt werden. Beispielsweise kann die Anfrage neben dem Berechtigungsnachweis „29347293892877172“ ein Nutzer-Zertifikat beinhalten, das von einer Zertifizierungsstelle (CA) für das die Anfrage sendende Überwachungssystem („Sender-Überwachungssystem“) ausgestellt wurde.Only in the event that a corresponding value is contained in the ID database does the recipient monitoring system carry out further test steps, which in particular include a complex test as to whether the monitoring system from which the request originates has the necessary rights to carry out the requested access action on the data record or the database. For example, in the course of this further check, a complex and computationally expensive certificate chain check can be carried out. For example, in addition to the credentials “29347293892877172”, the request can contain a user certificate that was issued by a certification authority (CA) for the monitoring system sending the request (“transmitter monitoring system”).
Das Überwachungssystem, das die Anfrage empfangen hat („Empfänger-Überwachungssystem“) kann im Zuge der weiteren Prüfung ein Zugriffsermächtigungskettenobjekt innerhalb der ID-Datenbank identifizieren, das diesem Nutzer-Zertifikat das Zugriffs-Zertifikat „29347293892877172“ über eine Kette mehrerer weiterer Nutzer-Zertifikate zuweist, wobei die weiteren Nutzerzertifikate für Nutzer bzw. Überwachungssysteme stehen, die dem Sender-Überwachungssystem das Zugriffsrecht „29347293892877172“ letztlich mittelbar zugewiesen haben. Die Nutzer-Zertifikate dieser Nutzer bzw. Überwachungssysteme wurden z.B. von der gleichen Zertifizierungsstelle oder einer dieser nachgeordneten, vertrauenswürdigen Stelle ausgestellt. Durch die Zertifikatskettenprüfung kann das Empfängersystem sicher prüfen, ob das Anfrage-Überwachungssystem sein Zugriffsrecht auch wirklich von Nutzern bekommen hat, die dem Empfänger-Überwachungssystem bekannt sind und als vertrauenswürdig gelten und die selbst jeweils dieses Zugriffsrecht hatten. Falls auch die weitere Prüfung positiv ist, darf das Sender-Überwachungssystem seine lokal erfassten Trainingsdaten und/oder sein lokal trainiertes und verbessertes ML-Modell mit den lokalen Trainingsdaten oder dem Modell des Empfänger-Überwachungssystems synchronisieren.The monitoring system that received the request (“receiver monitoring system”) can identify an access authorization chain object within the ID database in the course of further testing, which gives this user certificate the access certificate “29347293892877172” via a chain of several other user certificates assigns, whereby the other user certificates are for users or monitoring systems who have ultimately indirectly assigned the access right “29347293892877172” to the transmitter monitoring system. The user certificates of these users or monitoring systems were issued, for example, by the same certification authority or a subordinate, trustworthy authority. By means of the certificate chain check, the recipient system can reliably check whether the request monitoring system has actually received its access rights from users who are known to the recipient monitoring system and are considered to be trustworthy and who themselves each had this access right. If the further test is positive too, the transmitter monitoring system may synchronize its locally acquired training data and / or its locally trained and improved ML model with the local training data or the model of the receiver monitoring system.
Beispielsweise ist einem ersten Nutzer- U1 ein Nutzer-Zertifikat
Der erste Nutzer U1 könnte beispielsweise das Überwachungssystem
Das Zugriffs-Verwaltungssystem ist also dazu ausgebildet, ein erstes Eignerzertifikat, zum Beispiel Eigner-Zertifikat
Das Überwachungssystem
Das Überwachungssystem
Falls nun der erste Nutzer U1 auf einen Datensatz
Die einzelnen Datensätze
Die in
In analoger Weise spezifizieren Eignerschaftsermächtigungskettenobjekten
Falls ein Nutzer eine Zugriffsanfrage auf eine bestimmte Nutzdaten-Datenbank
Nach manchen Ausführungsformen (hier nicht dargestellt) verfügt jeder Datensatz einer bestimmten Nutzdaten-Datenbank über ein oder mehrere zusätzliche Felder für Zugriffs-Zertifikate, die anderen Nutzern oder Funktionen zugewiesen sind (also nicht speziell dem Nutzer, der den Datensatz erstellt hat). Beispielsweise kann es sich bei einer Nutzdaten-Datenbank um eine Datenbank mit Sensordaten handeln, die ein oder mehrere Sensoren des Überwachungssystems erfasst haben. Um die Sicherheit zu erhöhen, kann zum Beispiel in jedem Datensatz der Sensormesswertedatenbank ein zusätzliches Feld enthalten sein, in welchem ein Sensormesswertetyp-Zertifikat gespeichert ist. Beispielsweise kann das Überwachungssystem mehrere Sensoren unterschiedlichen Typs beinhalten, um den aktuellen Zustand des Überwachungssystems, das z.B. ein Gerät oder ein Bauteil sein kann, zu erfassen. Zu den Sensoren können z.B. Temperatursensoren, Schwingungssensoren, Feuchtigkeitssensoren, Turbinenumdrehungszahl-Sensoren etc. gehören. Falls es sich bei der Nutzdaten-Datenbank um eine generische Sensordatenbank handelt, die die Messwerte all dieser Sensoren umfasst, kann in jedem Datensatz der Sensormesswertdatenbank ein zusätzliches Feld enthalten sein, in welchem ein Sensorytp-Zertifikat gespeichert ist. Es können eine Vielzahl solcher Felder pro Datensatz enthalten sein, und das Zugriffs-Verwaltungssystem kann für bestimmte Typen von Nutzdaten-Datenbanken automatisch im Zuge der Erzeugung eines neuen Datensatzes die entsprechenden Zugriffs-Zertifikate in den Feldern speichern. Beispielsweise wird bei Erzeugung eines neuen Sensormesswert-Datensatzes durch einen Temperatursensor automatisch in das entsprechende Feld ein Temperatursensor-Zertifikat durch das Zugriffs-Verwaltungssystem eingefügt. Ein Nutzer, der auf einen solchen Datensatz zugreifen möchte, muss also zusätzlich zu dem Eignerschaftsrecht bezüglich der Sensormesswert-Datenbank und zusätzlich zu der Zugriffsberechtigung durch den Ersteller oder einer von diesen dazu ermächtigten Nutzer auch noch nachweisen, dass ihm ein Temperatursensor-Zertifikat zugewiesen ist. Dies kann die Sicherheit erhöhen, da so auf relativ generische und globale Art und Weise bestimmten Nutzern der Zugriff auf bestimmte Daten verwehrt werden kann, von welchen davon ausgegangen werden kann, dass sie für die Arbeit des Nutzers nicht notwendig sind. Beispielsweise könnten Temperaturdaten als sensibel angesehen werden, da diese etwas darüber aussagen, in welcher Umgebung das Überwachungssystem verwendet wurde, wohingegen die Turbinendrehzahl nur über den Zustand der Turbine Aufschluss gibt. Je nach Einsatzszenario kann es also vorteilhaft sein, dass bestimmte Nutzer bzw. andere Überwachungssysteme nur auf bestimmte Messwerte zugreifen können, die sicherheitstechnisch als weniger sensibel gelten, auf andere jedoch nicht. Somit kann für IoT Anwendungen ein sehr fein granuläres Rechtemanagement bereitgestellt werden, deren Prüfung dennoch die Prozessoren der als IoT Endknoten verwendeten Überwachungssysteme nicht übermäßig beansprucht.According to some embodiments (not shown here) each data record of a specific user data database has one or more additional fields for access certificates that are assigned to other users or functions (that is, not specifically to the user who created the data record). For example, a useful data database can be a database with sensor data that has been recorded by one or more sensors of the monitoring system. In order to increase security, for example, each data record of the sensor measured value database can contain an additional field in which a sensor measured value type certificate is stored. For example, the monitoring system can contain several sensors of different types in order to detect the current state of the monitoring system, which can be a device or a component, for example. The sensors can include, for example, temperature sensors, vibration sensors, humidity sensors, turbine speed sensors, etc. If the user data database is a generic sensor database that includes the measured values of all these sensors, an additional field in which a Sensorytp certificate is stored can be contained in each data record of the sensor measured value database. A large number of such fields can be contained per data record, and the access management system can automatically store the corresponding access certificates in the fields for certain types of user data databases in the course of generating a new data record. For example, when a new sensor measurement data record is generated by a temperature sensor, a temperature sensor certificate is automatically inserted into the corresponding field by the access management system. A user who would like to access such a data record must therefore, in addition to the ownership right with regard to the sensor measured value database and in addition to the access authorization by the creator or a user authorized by them, also prove that he has been assigned a temperature sensor certificate. This can increase security, since certain users can be denied access to certain data in a relatively generic and global manner, which can be assumed to be unnecessary for the user's work. For example, temperature data could be viewed as sensitive as it says something about the environment in which the monitoring system was used, whereas the turbine speed only provides information about the condition of the turbine. Depending on the application scenario, it can therefore be advantageous that certain users or other monitoring systems can only access certain measured values that are considered less sensitive in terms of security, but not others. This means that very finely granular rights management can be provided for IoT applications, the checking of which nevertheless does not place excessive strain on the processors of the monitoring systems used as IoT end nodes.
Vorzugsweise ist die Gesamtheit der Zugriffs-Zertifikate eines Datensatzes durch ein oder mehrere logische Operatoren wie zum Beispiel „AND“ oder „OR“ miteinander verbunden, sodass sich ein komplexer, logisch verbundener Ausdruck ergibt, welcher spezifiziert, welche Zugriffs-Zertifikate einem Nutzer zugewiesen sein müssen damit dieser Zugriff auf einen Datensatz hat. Dabei beinhalten die Zugriffs-Zertifikate eines Datensatzes vorzugsweise eine Mischung aus Zugriffs-Zertifikaten, die dem Ersteller des Datensatzes persönlich zugewiesen sind und die anderen Nutzern persönlich zugewiesen werden müssen um diesen Zugriff zu gewähren, und Zugriffs-Zertifikaten, die von dem Zugriffs-Verwaltungssystem oder einem menschlichen Nutzer automatisch oder manuell jedem Datensatz einer bestimmten Nutzdaten-Datenbank bei Erstellung zugewiesen werden (zum Beispiel Sensortypspezifisches-Zugriffszertifikat oder Steuerobjet-spezifisches-Zugriffszertifikat, wobei ein Steuerobjekt eine hardwarebasierte oder softwarebasierte Einheit ist, die von einer Funktionalität des Überwachungssystems gesteuert wird). Diese Zugriffs-Zertifikate werden auch als „Attribut-Zertifikate“ bezeichnet.Preferably, the entirety of the access certificates of a data record is connected to one another by one or more logical operators such as “AND” or “OR”, so that a complex, logically connected expression results which specifies which access certificates are assigned to a user must so that this has access to a data record. The access certificates of a data record preferably contain a mixture of access certificates which are personally assigned to the creator of the data record and which must be assigned personally to other users in order to grant them access, and access certificates issued by the access management system or a human user can be automatically or manually assigned to each data record of a specific user data database when it is created (for example sensor type-specific access certificate or control object-specific access certificate, with a control object being a hardware-based or software-based unit that is controlled by a functionality of the monitoring system). These access certificates are also referred to as "attribute certificates".
Optional können die einzelnen Ermächtigungsobjekte
In der ID-Datenbank sind einer Vielzahl von Nutzern
Wenn ein Nutzer U2, zum Beispiel über eine entsprechende Anfrage an das Überwachungssystem
Beispielsweise kann der Berechtigungstoken gegliedert sein in einen Konnektivitätsnachweis
Der Berechtigungstoken
In analoger Weise wird in Antwort auf eine Zugriffsanfrage des Nutzers U3 von der ID-Datenbank der Berechtigungstoken
Dass der Nutzer U2 auf die Datensätze des Nutzers U1 nur lesend und schreibend, aber nicht per Indexzugriff zugreifen darf, geht aus dem Fehlen eines entsprechenden Zugriffs-Zertifikats in einem entsprechenden Zugriffsermächtigungskettenobjekt hervor. Dieses Fehlen ist durch Box
Dass der Nutzer U3 auf die Datensätze des Nutzers U1 nicht schreibend oder lesend zugreifen darf, geht aus den Boxen
Vorzugsweise enthalten die dynamisch erstellten Berechtigungstoken
In einem ersten Schritt erstellt der Nutzer
In einem nächsten Schritt überträgt der Ersteller
Der Ersteller des Datensatzes
Der Nutzer
Die in den Ermächtigungskettenobjekten dokumentierte Kette an Nutzer-Zertifikaten dokumentiert gemäß Ausführungsformen der Erfindung die Übertragung von Eigner- oder Zugriffs-Rechten über eine Sequenz mehrerer Nutzer. Die Sequenz kann aus einer bloßen Aneinanderreihung von Nutzer-Zertifikaten bestehen, wobei beispielsweise die Position der Nutzer-Zertifikate innerhalb der Kettenobjekte die zeitliche Reihe der Übertragungen repräsentiert. Optional kann nach manchen Ausführungsformen die Kette von Nutzer-Zertifikaten innerhalb eines Ermächtigungskettenobjekten dadurch generiert werden, dass die ID-Datenbank die den einzelnen Nutzer-Zertifikaten zugeordneten privaten Schlüssel so verwendet, dass das letzte Nutzer-Zertifikat in der Kette das an dieses neuangefügte neue Nutzer-Zertifikat signiert, sodass auch innerhalb der Kette der Nutzer-Zertifikate der einzelnen Ermächtigungskettenobjekte eine Zertifikatskettenprüfung möglich ist.The chain of user certificates documented in the authorization chain objects documents, according to embodiments of the invention, the transfer of owner or access rights over a sequence of several users. The sequence can consist of a simple stringing together of user certificates, the position of the user certificates within the chain objects representing the time series of the transmissions, for example. Optionally, according to some embodiments, the chain of user certificates within an authorization chain object can be generated in that the ID database uses the private keys assigned to the individual user certificates in such a way that the last user certificate in the chain is the new user added to it -Certificate signed so that a certificate chain check is also possible within the chain of user certificates of the individual authorization chain objects.
So repräsentiert die in
Beispielsweise kann das Zugriffs-Recht je nach Sensortyp neben einem Recht zum Schreiben [W] auch ein Recht auf Lesen [R] und Indexzugriff [S] besitzen. Die verschiedenen Zugriffsrechte können mittels dreier unterschiedlicher Zugriffs-Zertifikate auf andere Überwachungssysteme, z.B. Überwachungssystem H, übertragen werden. Für die initiale Berechtigungsprüfung ist es ausreichend, dass zumindest eines der Zugriffs-Zertifikate in der ID-Datenbank des Überwachungssystems H als Referenzberechtigungsnachweis vorhanden ist. Falls dies der Fall ist, kann im Zuge einer weiteren Berechtigungsprüfung geprüft werden, ob noch weitere Zugriffszertifikate in der Anfrage vorhanden sind und bezüglich welcher Zugriffsarten diese Zertifikate ein Zugriffsrecht einräumen.For example, depending on the sensor type, the access right can have a right to write [W] as well as a right to read [R] and index access [S]. The various access rights can be transferred to other monitoring systems, e.g. monitoring system H, using three different access certificates. For the initial authorization check, it is sufficient that at least one of the access certificates is available in the ID database of the monitoring system H as reference authorization. If this is the case, in the course of a further authorization check it can be checked whether further access certificates are present in the request and with regard to which types of access these certificates grant an access right.
Beispielsweise hat im vorliegenden Fall das Überwachungssystem H einen Datensatz erstellt der drei Zugriffs-Zertifikate für die besagten drei Zugriffsrechten (in der Nutzdaten-Datenbank) enthält. Das Überwachungssystem H weist diese Zugriffrechte über die drei Zugriffs-Zertifikate den Überwachungssystemen B und P zu, wobei Überwachungssystem P diese Zugriffsrechte auf die von Überwachungssystem H erstellten Datensätze wiederum an das Überwachungssystem D weitergibt. Somit bezieht Überwachungssystem D seine Zugriffsrechte auf die Daten von Überwachungssystem H über das „Mittlersystem“ „P“.For example, in the present case the monitoring system H has created a data record that contains three access certificates for the said three access rights (in the user data database). The monitoring system H assigns these access rights to the monitoring systems B and P via the three access certificates, with the monitoring system P in turn passing on these access rights to the data records created by the monitoring system H to the monitoring system D. Monitoring system D thus obtains its access rights to the data from monitoring system H via the "intermediary system" "P".
Die in
In einem weiteren Schritt
In einem weiteren Schritt
Das Zugriffs-Verwaltungssystem prüft, in Antwort auf eine Zugriffsanfrage des ersten Überwachungssystems bezüglich der in der Nutzdaten-Datenbank
BezugszeichenlisteList of reference symbols
- 100100
- ÜberwachungssystemSurveillance system
- 102102
- Nutzdaten-Datenbank DB1User data database DB1
- 104104
- Nutzdaten-Datenbank DB2User data database DB2
- 105105
- öffentlicher Signaturprüfschlüsselpublic signature verification key
- 106106
- Datensatzrecord
- 107107
- privater Signierschlüsselprivate signing key
- 108108
- Datensatzrecord
- 110110
- Datensatzrecord
- 111111
- Signatursignature
- 112112
- Datensatzrecord
- 113113
- Signatursignature
- 114114
- Datensatzrecord
- 115115
- Signatursignature
- 116116
- Datensatzrecord
- 118118
- Delegierter-ParameterDelegate parameters
- 122122
- BerechtigungstokenAuthorization token
- 123123
- Modul zur ZertifikatskettenprüfungModule for certificate chain testing
- 124124
- drittes Nutzer-Zertifikatthird user certificate
- 125125
- Loglog
- 126126
- NutzerUsers
- 128128
- Eigner-Zertifikat für Datenbank DB1Owner certificate for database DB1
- 132132
- zweites Nutzer-Zertifikatsecond user certificate
- 134134
- erstes Nutzer-Zertifikatfirst user certificate
- 136136
- ID-DatenbankID database
- 137137
- Zugriffs-und Eignerschafts-ErmächtigungskettenobjekteAccess and Ownership Authorization Chain Objects
- 138138
- ZertifikatsketteCertificate chain
- 139139
- EignerschaftsermächtigungskettenobjektOwnership authorization chain object
- 140140
- ZertifizierungsstelleCertification Authority
- 141141
- EignerschaftsermächtigungskettenobjektOwnership authorization chain object
- 142142
- erste Schnittstellefirst interface
- 143143
- ZugriffsermächtigungskettenobjektAccess authorization chain object
- 144144
- zweite Schnittstellesecond interface
- 202202
- Nutzer, z.B. registrierte ÜberwachungssystemeUsers, e.g. registered surveillance systems
- 204204
- Nutzer-ZertifikateUser certificates
- 206206
- Konnektivitäts- Berechtigungstoken für best. Nutzer und DBConnectivity authorization token for best. User and DB
- 208208
- Signatur eines privaten Schlüssels einer ZertifizierungsstelleSignature of a private key from a certification authority
- 210210
- öffentlicher Signaturprüfschlüssel einer Zertifizierungsstellepublic signature verification key of a certification authority
- 212212
- privater Signaturschlüssel der Zertifizierungsstelleprivate signature key of the certification authority
- 214214
- Trust-CenterTrust center
- 216216
- IDs von Nutzdaten-DatenbankenIDs of user data databases
- 220220
- Berechtigungstoken für Nutzer U2Authorization token for user U2
- 222222
- Berechtigungstoken für Nutzer U3Authorization token for user U3
- 225225
- Zugriffs- Berechtigungstoken für best. Nutzer und DatensatzAccess authorization token for best. User and record
- 226226
- Zugriffs- Berechtigungstoken für best. Nutzer und DatensatzAccess authorization token for best. User and record
- 227227
- Konnektivitäts- Berechtigungstoken für best. Nutzer und DBConnectivity authorization token for best. User and DB
- 228228
- Fehlen des [S] Zugriffsrechts für Nutzer U2 bzgl. Daten, die von Nutzer U1 erstellt wurdenLack of [S] access rights for user U2 with regard to data created by user U1
- 229229
- Fehlen des [W] Zugriffsrechts für Nutzer U3 bzgl. Daten, die von Nutzer U1 erstellt wurdenLack of [W] access rights for user U3 with regard to data created by user U1
- 230230
- Fehlen des [R] Zugriffsrechts für Nutzer U3 bzgl. Daten, die von Nutzer U1 erstellt wurdenLack of [R] access rights for user U3 with regard to data created by user U1
- 232232
- [W] und [R] Zugriffsrechte des Nutzers U2 auf Daten, die von Nutzer U1 erstellt wurden[W] and [R] Access rights of user U2 to data created by user U1
- 234234
- Zugriffsrechte des Nutzers U3 auf Daten, die von Nutzer U1 und U2 erstellt wurdenAccess rights of user U3 to data created by users U1 and U2
- 236236
-
Signatur von Berechtigungstoken
225 Authorizationtoken signature 225 - 237237
-
Signatur von Berechtigungstoken
206 Authorizationtoken signature 206 - 238238
-
Signatur von Berechtigungstoken
226 Authorizationtoken signature 226 - 239239
-
Signatur von Berechtigungstoken
227 Authorizationtoken signature 227 - 240240
-
Signatur von Berechtigungstoken
242 Authorizationtoken signature 242 - 242242
- Zugriffs- Berechtigungstoken für best. Nutzer und DatensatzAccess authorization token for best. User and record
- 300300
- ÜberwachungssystemSurveillance system
- 302302
- MikrocontrollerMicrocontroller
- 304304
- Prozessor(en)Processor (s)
- 306306
- Arbeitsspeicherrandom access memory
- 308308
- NetzwerkschnittstelleNetwork interface
- 310310
- nicht-volatiler Programmspeichernon-volatile program memory
- 312312
- ReferenzberechtigungsnachweisReference authorization
- 314314
- Hardware- oder SoftwarefunktionalitätHardware or software functionality
- 316316
- PrüfprogrammTest program
- 318318
- Wartungs-NutzerMaintenance users
- 320320
- Angreiferattacker
- 322322
- Anfrageinquiry
- 324324
- Berechtigungsnachweis innerhalb AnfrageProof of eligibility within request
- 326326
- Netzwerknetwork
- 328328
- AnfrageeinheitInquiry unit
- 330330
- KrankenhausgebäudeHospital building
- 331331
- Sensor(en)Sensor (s)
- 332332
- Notstromaggregatemergency generator
- 333333
- SteuereinheitControl unit
- 334334
- Notstromaggregatemergency generator
- 336336
- ÜberwachungssystemSurveillance system
- 340340
- Systemsystem
- 342342
- SteuereinheitControl unit
- 344344
- SteuereinheitControl unit
- 402402
- Nutzer HUser H
- 404-408404-408
- Zugriffs-Zertifikate für von H erstellte DatenAccess certificates for data created by H.
- 410410
- Datensatzrecord
- 412412
- Nutzer-Zertifikat für Nutzer HUser certificate for user H
- 420420
- Nutzer BUser B
- 424-428424-428
- Zugriffs-Zertifikate für von B erstellte DatenAccess certificates for data created by B
- 414414
- Nutzer-Zertifikat für Nutzer BUser certificate for user B
- 422422
- Nutzer PUser P
- 430-434430-434
- Zugriffs-Zertifikate für von P erstellte DatenAccess certificates for data created by P.
- 418418
- Nutzer-Zertifikat für Nutzer PUser certificate for user P
- 436436
- Nutzer DUser D
- 440-444440-444
- Zugriffs-Zertifikate für von D erstellte DatenAccess certificates for data created by D.
- 438438
- Nutzer-Zertifikat für Nutzer DUser certificate for user D
- 500500
- NutzdatenPayload
- 702702
- ID-Management-ModulID management module
- 802-818802-818
- Schrittesteps
- 900900
- Verteiltes System aus mehreren ÜberwachungssystemenDistributed system made up of several monitoring systems
- 902902
- ÜberwachungssystemSurveillance system
- 904904
- Prozessorprocessor
- 906906
- VorhersageprogrammPrediction program
- 908908
- ModellsynchronisationsmodulModel synchronization module
- 914914
- Trainingsdaten (von lokalem Sensor erfasst)Training data (captured by local sensor)
- 916916
- Sensorsensor
- 919919
- Machine-Learning ModellMachine learning model
- 920-924920-924
- ÜberwachungsobjekteSurveillance objects
- 926-930926-930
- semi-autonome Systemesemi-autonomous systems
- 952-958952-958
- Schrittesteps
Claims (20)
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102020110034.5A DE102020110034A1 (en) | 2020-04-09 | 2020-04-09 | Monitoring system with multi-level inquiry verification |
| PCT/EP2021/059177 WO2021204943A2 (en) | 2020-04-09 | 2021-04-08 | Monitoring system with multistage request verification |
| EP21717433.3A EP4133761B1 (en) | 2020-04-09 | 2021-04-08 | Monitoring system with multistage request verification |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102020110034.5A DE102020110034A1 (en) | 2020-04-09 | 2020-04-09 | Monitoring system with multi-level inquiry verification |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| DE102020110034A1 true DE102020110034A1 (en) | 2021-10-14 |
Family
ID=75438790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE102020110034.5A Pending DE102020110034A1 (en) | 2020-04-09 | 2020-04-09 | Monitoring system with multi-level inquiry verification |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP4133761B1 (en) |
| DE (1) | DE102020110034A1 (en) |
| WO (1) | WO2021204943A2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220374762A1 (en) * | 2021-05-18 | 2022-11-24 | International Business Machines Corporation | Trusted and decentralized aggregation for federated learning |
| CN116859831A (en) * | 2023-05-15 | 2023-10-10 | 广东思创智联科技股份有限公司 | An industrial big data processing method and system based on the Internet of Things |
| CN117234141A (en) * | 2023-11-16 | 2023-12-15 | 墨之道(山东)测控设备有限公司 | Automatic control system and control method for circulating cooling water treatment |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116258310A (en) * | 2022-11-18 | 2023-06-13 | 广西交通投资集团南宁高速公路运营有限公司 | Multi-party joint dispatching command system and method for improving highway emergency rescue efficiency |
| CN116027746B (en) * | 2022-12-23 | 2024-07-19 | 东莞市启慧软件科技有限公司 | Circuit board alignment degree control method and device and computer equipment |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060026672A1 (en) | 2004-07-29 | 2006-02-02 | Rockwell Automation Technologies, Inc. | Security system and method for an industrial automation system |
| US20120297461A1 (en) | 2010-12-02 | 2012-11-22 | Stephen Pineau | System and method for reducing cyber crime in industrial control systems |
| US20130158708A1 (en) | 2010-08-19 | 2013-06-20 | Bertil Emmertz | System And A Method For Providing Safe Remote Access To A Robot Controller |
| US20150287318A1 (en) | 2014-04-04 | 2015-10-08 | Rockwell Automation Technologies, Inc. | Industrial-enabled mobile device |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| WO2003107154A1 (en) * | 2002-06-18 | 2003-12-24 | Honeywell International Inc. | Master dongle for a secured data communications network |
| US7792126B1 (en) * | 2005-05-19 | 2010-09-07 | EmNet, LLC | Distributed monitoring and control system |
| EP2842258B1 (en) * | 2012-03-08 | 2017-03-01 | Intel Corporation | Multi-factor certificate authority |
| US8763101B2 (en) * | 2012-05-22 | 2014-06-24 | Verizon Patent And Licensing Inc. | Multi-factor authentication using a unique identification header (UIDH) |
| US9954679B2 (en) * | 2014-03-05 | 2018-04-24 | Qualcomm Incorporated | Using end-user federated login to detect a breach in a key exchange encrypted channel |
| US10554644B2 (en) * | 2016-07-20 | 2020-02-04 | Fisher-Rosemount Systems, Inc. | Two-factor authentication for user interface devices in a process plant |
| WO2019135830A1 (en) * | 2018-01-08 | 2019-07-11 | All Purpose Networks, Inc. | Internet of things system with efficient and secure communications network |
-
2020
- 2020-04-09 DE DE102020110034.5A patent/DE102020110034A1/en active Pending
-
2021
- 2021-04-08 EP EP21717433.3A patent/EP4133761B1/en active Active
- 2021-04-08 WO PCT/EP2021/059177 patent/WO2021204943A2/en unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060026672A1 (en) | 2004-07-29 | 2006-02-02 | Rockwell Automation Technologies, Inc. | Security system and method for an industrial automation system |
| US20130158708A1 (en) | 2010-08-19 | 2013-06-20 | Bertil Emmertz | System And A Method For Providing Safe Remote Access To A Robot Controller |
| US20120297461A1 (en) | 2010-12-02 | 2012-11-22 | Stephen Pineau | System and method for reducing cyber crime in industrial control systems |
| US20150287318A1 (en) | 2014-04-04 | 2015-10-08 | Rockwell Automation Technologies, Inc. | Industrial-enabled mobile device |
Non-Patent Citations (4)
| Title |
|---|
| Chain of trust. In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 23. Juli 2018. URL: https://en.wikipedia.org/w/index.php?title=Chain_of_trust&oldid=851585208 [abgerufen am 23.11.2020] |
| File-system permissions. In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 4. Februar 2020. URL: https://en.wikipedia.org/w/index.php?title=File-system_permissions&oldid=939113869 [abgerufen am 23.11.2020] |
| PostgreSQL: Documentation: 11: GRANT. URL: https://www.postgresql.org/docs/11/sql-grant.html, archiviert in http://www.archive.org am 23.02.2020 [abgerufen am 19.11.2020] |
| Understanding Denial-of-Service Attacks, Security Tip (ST04-015). Cybersecurity & Infrastructure Security Agency, 20. November 2019. URL: https://us-cert.cisa.gov/ncas/tips/ST04-015 [abgerufen am 20.11.2020] |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220374762A1 (en) * | 2021-05-18 | 2022-11-24 | International Business Machines Corporation | Trusted and decentralized aggregation for federated learning |
| CN116859831A (en) * | 2023-05-15 | 2023-10-10 | 广东思创智联科技股份有限公司 | An industrial big data processing method and system based on the Internet of Things |
| CN116859831B (en) * | 2023-05-15 | 2024-01-26 | 广东思创智联科技股份有限公司 | Industrial big data processing method and system based on Internet of things |
| CN117234141A (en) * | 2023-11-16 | 2023-12-15 | 墨之道(山东)测控设备有限公司 | Automatic control system and control method for circulating cooling water treatment |
| CN117234141B (en) * | 2023-11-16 | 2024-03-01 | 墨之道(山东)测控设备有限公司 | Automatic control system and control method for circulating cooling water treatment |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4133761A2 (en) | 2023-02-15 |
| WO2021204943A2 (en) | 2021-10-14 |
| WO2021204943A3 (en) | 2021-12-02 |
| EP4133761B1 (en) | 2025-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4133761B1 (en) | Monitoring system with multistage request verification | |
| CN108681966B (en) | Information supervision method and device based on block chain | |
| EP3447667B1 (en) | Cryptographic security for a distributed data storage | |
| EP3655880B1 (en) | Hardware system having a block chain | |
| DE102012110499B9 (en) | Safety access procedure for electronic automotive control units | |
| EP2367128B1 (en) | Device and method for electronic signatures | |
| EP2936259B1 (en) | Updating of a digital device certificate of an automation device | |
| DE112018007052T5 (en) | Configuration and onboarding of trusted IOT devices | |
| EP3681102B1 (en) | Method for validation of a digital user certificate | |
| EP3876127A1 (en) | Remote device maintenance based on distributed data storage | |
| DE112021005478T5 (en) | METHOD OF PROTECTING AN EDGE DEVICE TRUST | |
| EP3699791B1 (en) | Access control with a mobile radio device | |
| EP2272199B1 (en) | Distributed data memory unit | |
| EP3726408A1 (en) | Industrial automation device comprising a unit for testing and monitoring the integrity of the industrial automation device | |
| DE102016210788B4 (en) | Component for processing data worthy of protection and method for implementing a security function for protecting data worthy of protection in such a component | |
| EP4133768B1 (en) | Microcontroller- or microprocessor-based system with authorization verification for requests | |
| DE102018217431A1 (en) | Secure key exchange on one device, especially an embedded device | |
| EP3539044B1 (en) | Access control for data objects | |
| DE102016222170A1 (en) | Method for reading attributes from an ID token | |
| EP4430501B1 (en) | Method and related computer systems for safeguarding the integrity of data | |
| DE102010004786A1 (en) | Computer-aided method for providing development environment to implement secure application in motor car, involves invoking secure applications over interfaces, where secure applications are more configurable during implementation | |
| EP3539045B1 (en) | System with certificate-based access control | |
| DE102016207339A1 (en) | A method for securely interacting a user with a mobile device and another entity | |
| EP3244332B1 (en) | Method for reading attributes from an id token | |
| DE102021129179B4 (en) | SECURE INTELLIGENT CONTAINERS TO CONTROL ACCESS TO DATA |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R012 | Request for examination validly filed |